Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
| Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
|
cs:tech:idp:shibboleth:new [2020/03/26 20:03] jan.oppolzer@cesnet.cz [Tipy] |
cs:tech:idp:shibboleth:new [2020/03/27 14:32] jan.oppolzer@cesnet.cz odstraněno |
||
|---|---|---|---|
| Řádek 27: | Řádek 27: | ||
| # Kontrola GPG podpisu | # Kontrola GPG podpisu | ||
| - | # Nejprve importujeme klíč 07CEEB8B | ||
| - | gpg --keyserver hkp://keys.gnupg.net --search-keys 07CEEB8B | ||
| - | # Nyní můžeme provést samotnou kontrolu | ||
| gpg --verify shibboleth-identity-provider-4.0.0.tar.gz.asc | gpg --verify shibboleth-identity-provider-4.0.0.tar.gz.asc | ||
| </code> | </code> | ||
| Řádek 108: | Řádek 105: | ||
| <code ini> | <code ini> | ||
| - | #idp.cookie.secure = true | + | idp.cookie.secure = true |
| - | #idp.cookie.httpOnly = true | + | idp.cookie.httpOnly = true |
| idp.consent.StorageService = shibboleth.JPAStorageService | idp.consent.StorageService = shibboleth.JPAStorageService | ||
| </code> | </code> | ||
| Řádek 151: | Řádek 148: | ||
| ==== secrets.properties ==== | ==== secrets.properties ==== | ||
| - | FIXME | + | V souboru ''/opt/shibboleth-idp/credentials/secrets.properties'', který nově existuje v Shibboleth IdP od verze 4.0.0, nastavíme heslo k LDAP serveru a sůl pro //persistentní NameID identifikátor// / atribut //eduPersonTargetedID//, kterou si vygenerujeme. |
| - | + | ||
| - | V souboru ''/opt/shibboleth-idp/credentials/secrets.properties'', který nově existuje v Shibboleth IdP od verze V4, nastavíme heslo k LDAP serveru. | + | |
| <code bash> | <code bash> | ||
| # Vygenerování soli | # Vygenerování soli | ||
| openssl rand -base64 36 | openssl rand -base64 36 | ||
| - | </code> | ||
| - | <code bash> | ||
| # Otevřeme konfigurační soubor secrets.properties | # Otevřeme konfigurační soubor secrets.properties | ||
| vim /opt/shibboleth-idp/credentials/secrets.properties | vim /opt/shibboleth-idp/credentials/secrets.properties | ||
| </code> | </code> | ||
| - | Volba ''idp.authn.LDAP.bindDNCredential'' obsahuje heslo, které se použije při přístupu k LDAPu. Heslo je pro uživatelský účet definovaný v ''idp.authn.LDAP.bindDN'' v ''/opt/shibboleth-idp/conf/ldap.properties'' souboru. | + | Volba ''idp.authn.LDAP.bindDNCredential'' obsahuje heslo, které se použije při přístupu k LDAPu. Heslo je pro uživatelský účet definovaný v ''idp.authn.LDAP.bindDN'' v ''/opt/shibboleth-idp/conf/ldap.properties'' souboru. Volba ''idp.persistentId.salt'' definuje sůl pro persistentní NameID identifikátor, kterou jsme si právě vygenerovali. |
| <code ini> | <code ini> | ||
| - | idp.authn.LDAP.bindDNCredential = nejakeheslo | + | idp.authn.LDAP.bindDNCredential = ___NEJAKE_HESLO___ |
| - | + | idp.persistentId.salt = ___NEJAKA_SUL___ | |
| - | idp.persistentId.salt = ___SALT___ | + | |
| </code> | </code> | ||
| Řádek 183: | Řádek 175: | ||
| <code xml> | <code xml> | ||
| + | <!-- eduID.cz --> | ||
| <MetadataProvider | <MetadataProvider | ||
| id="eduidcz" | id="eduidcz" | ||
| Řádek 234: | Řádek 227: | ||
| ==== attribute-resolver.xml ==== | ==== attribute-resolver.xml ==== | ||
| - | |||
| - | FIXME: **Důkladně otestovat šablonu pro V4!** | ||
| Chcete-li si konfigurační soubor ''/opt/shibboleth-idp/conf/attribute-resolver.xml'' nakonfigurovat od začátku a naprosto sami, využijte k tomu soubor ''/opt/shibboleth-idp/conf/attribute-resolver-ldap.xml'', který v sobě zahrnuje i konektor do LDAP serveru. | Chcete-li si konfigurační soubor ''/opt/shibboleth-idp/conf/attribute-resolver.xml'' nakonfigurovat od začátku a naprosto sami, využijte k tomu soubor ''/opt/shibboleth-idp/conf/attribute-resolver-ldap.xml'', který v sobě zahrnuje i konektor do LDAP serveru. | ||
| Řádek 244: | Řádek 235: | ||
| **Návod v následujících krocích předpokládá, že jste použili připravenou šablonu!** | **Návod v následujících krocích předpokládá, že jste použili připravenou šablonu!** | ||
| - | Navíc se předpokládá, že pro generování persistentního NameID identifikátoru používáte atribut ''uid''. Tento SAML atribut nesmí mít v ''attribute-resolver.xml'' XML atribut //dependencyOnly="true"//, jinak nebude pro generování persistentního NameID k dispozici a persistentní NameID se nevygeneruje. **Několik služeb bez persistentního NameID nebude fungovat!** | + | Navíc se předpokládá, že pro generování persistentního NameID identifikátoru používáte atribut ''uid''. Tento SAML atribut nesmí mít v ''attribute-resolver.xml'' XML atribut //dependencyOnly="true"//, jinak nebude pro generování persistentního NameID k dispozici a persistentní NameID se nevygeneruje. |
| + | |||
| + | **Některé služby bez persistentního NameID nebudou fungovat!** | ||
| </WRAP> | </WRAP> | ||
| Řádek 256: | Řádek 249: | ||
| ==== attribute-filter.xml ==== | ==== attribute-filter.xml ==== | ||
| - | |||
| - | FIXME: **Důkladně otestovat šablonu pro V4!** | ||
| Mít definované atributy z předchozího kroku nestačí. Ještě je potřeba nadefinovat, které atributy budeme vydávat a komu je budeme vydávat. To se nastavuje v konfiguračním souboru ''/opt/shibboleth-idp/conf/attribute-filter.xml''. | Mít definované atributy z předchozího kroku nestačí. Ještě je potřeba nadefinovat, které atributy budeme vydávat a komu je budeme vydávat. To se nastavuje v konfiguračním souboru ''/opt/shibboleth-idp/conf/attribute-filter.xml''. | ||
| Řádek 278: | Řádek 269: | ||
| <code bash> | <code bash> | ||
| # Otevřeme konfigurační soubor idp-metadata.xml | # Otevřeme konfigurační soubor idp-metadata.xml | ||
| - | vi /opt/shibboleth-idp/metadata/idp-metadata.xml | + | vim /opt/shibboleth-idp/metadata/idp-metadata.xml |
| </code> | </code> | ||
| Řádek 359: | Řádek 350: | ||
| <code bash> | <code bash> | ||
| # Úpravy v konfiguračním souboru global.xml | # Úpravy v konfiguračním souboru global.xml | ||
| - | vi /opt/shibboleth-idp/conf/global.xml | + | vim /opt/shibboleth-idp/conf/global.xml |
| </code> | </code> | ||
| Řádek 391: | Řádek 382: | ||
| p:generateDdl="true" | p:generateDdl="true" | ||
| p:database="MYSQL" | p:database="MYSQL" | ||
| - | p:databasePlatform="org.hibernate.dialect.MySQL5Dialect" /> | + | p:databasePlatform="org.hibernate.dialect.MariaDBDialect" /> |
| </code> | </code> | ||
| Řádek 400: | Řádek 391: | ||
| <code bash> | <code bash> | ||
| # Úpravy v konfiguračním souboru saml-nameid.properties | # Úpravy v konfiguračním souboru saml-nameid.properties | ||
| - | vi /opt/shibboleth-idp/conf/saml-nameid.properties | + | vim /opt/shibboleth-idp/conf/saml-nameid.properties |
| </code> | </code> | ||
| - | FIXME | + | Zde definujeme odkazy na výše definované "<bean>y", dále atribut, který se bude pro výpočet persistentního identifikátoru používat (''uid''). |
| - | + | ||
| - | Zde definujeme odkazy na výše definované "<bean>y", dále atribut, který se bude pro výpočet persistentního identifikátoru používat (''uid'') a sůl (''salt'') použitou pro výpočet (tu jsme si již vygenerovali výše). | + | |
| <code ini> | <code ini> | ||
| idp.persistentId.sourceAttribute = uid | idp.persistentId.sourceAttribute = uid | ||
| - | # Nové IdP | + | # Nové IdP (BASE32) |
| idp.persistentId.encoding = BASE32 | idp.persistentId.encoding = BASE32 | ||
| - | # Migrované IdP | + | # Migrované IdP (BASE64) |
| #idp.persistentId.encoding = BASE64 | #idp.persistentId.encoding = BASE64 | ||
| idp.persistentId.generator = shibboleth.StoredPersistentIdGenerator | idp.persistentId.generator = shibboleth.StoredPersistentIdGenerator | ||
| Řádek 423: | Řádek 412: | ||
| <code bash> | <code bash> | ||
| # Úpravy v konfiguračním souboru saml-nameid.xml | # Úpravy v konfiguračním souboru saml-nameid.xml | ||
| - | vi /opt/shibboleth-idp/conf/saml-nameid.xml | + | vim /opt/shibboleth-idp/conf/saml-nameid.xml |
| </code> | </code> | ||
| Řádek 438: | Řádek 427: | ||
| <code bash> | <code bash> | ||
| # Úpravy v konfiguračním souboru subject-c14n.xml | # Úpravy v konfiguračním souboru subject-c14n.xml | ||
| - | vi /opt/shibboleth-idp/conf/c14n/subject-c14n.xml | + | vim /opt/shibboleth-idp/conf/c14n/subject-c14n.xml |
| </code> | </code> | ||
| Řádek 495: | Řádek 484: | ||
| ### Operating Environment Information | ### Operating Environment Information | ||
| operating_system: Linux | operating_system: Linux | ||
| - | operating_system_version: 4.19.0-6-amd64 | + | operating_system_version: 4.19.0-8-amd64 |
| operating_system_architecture: amd64 | operating_system_architecture: amd64 | ||
| - | jdk_version: 11.0.5 | + | jdk_version: 11.0.6 |
| available_cores: 1 | available_cores: 1 | ||
| - | used_memory: 391 MB | + | used_memory: 260 MB |
| maximum_memory: 1500 MB | maximum_memory: 1500 MB | ||
| ### Identity Provider Information | ### Identity Provider Information | ||
| - | idp_version: 3.4.6 | + | idp_version: 4.0.0 |
| - | start_time: 2019-12-13T15:34:26+01:00 | + | start_time: 2020-03-27T11:58:27.546Z |
| - | current_time: 2019-12-13T15:34:28+01:00 | + | current_time: 2020-03-27T11:58:29.415454Z |
| - | uptime: 2512 ms | + | uptime: 1869 ms |
| service: shibboleth.LoggingService | service: shibboleth.LoggingService | ||
| - | last successful reload attempt: 2019-12-13T14:33:26Z | + | last successful reload attempt: 2020-03-27T11:48:53.362422Z |
| - | last reload attempt: 2019-12-13T14:33:26Z | + | last reload attempt: 2020-03-27T11:48:53.362422Z |
| - | service: shibboleth.ReloadableAccessControlService | + | service: shibboleth.AttributeFilterService |
| - | last successful reload attempt: 2019-12-13T14:33:50Z | + | last successful reload attempt: 2020-03-27T11:48:57.202556Z |
| - | last reload attempt: 2019-12-13T14:33:50Z | + | last reload attempt: 2020-03-27T11:48:57.202556Z |
| - | service: shibboleth.MetadataResolverService | + | service: shibboleth.AttributeResolverService |
| - | last successful reload attempt: 2019-12-13T14:33:40Z | + | last successful reload attempt: 2020-03-27T11:48:57.531585Z |
| - | last reload attempt: 2019-12-13T14:33:40Z | + | last reload attempt: 2020-03-27T11:48:57.531585Z |
| - | metadata source: eduidcz | + | No Data Connector has ever failed |
| - | last refresh attempt: 2019-12-13T14:33:40Z | + | |
| - | last successful refresh: 2019-12-13T14:33:40Z | + | |
| - | last update: 2019-12-13T14:33:40Z | + | |
| - | root validUntil: 2020-01-12T14:01:02Z | + | |
| - | metadata source: edugain | + | service: shibboleth.AttributeRegistryService |
| - | last refresh attempt: 2019-12-13T14:33:42Z | + | last successful reload attempt: 2020-03-27T11:49:00.195848Z |
| - | last successful refresh: 2019-12-13T14:33:42Z | + | last reload attempt: 2020-03-27T11:49:00.195848Z |
| - | last update: 2019-12-13T14:33:42Z | + | |
| - | root validUntil: 2020-01-09T15:02:02Z | + | service: shibboleth.NameIdentifierGenerationService |
| + | last successful reload attempt: 2020-03-27T11:49:00.673174Z | ||
| + | last reload attempt: 2020-03-27T11:49:00.673174Z | ||
| service: shibboleth.RelyingPartyResolverService | service: shibboleth.RelyingPartyResolverService | ||
| - | last successful reload attempt: 2019-12-13T14:33:39Z | + | last successful reload attempt: 2020-03-27T11:49:00.877735Z |
| - | last reload attempt: 2019-12-13T14:33:39Z | + | last reload attempt: 2020-03-27T11:49:00.877735Z |
| - | service: shibboleth.NameIdentifierGenerationService | + | service: shibboleth.MetadataResolverService |
| - | last successful reload attempt: 2019-12-13T14:33:39Z | + | last successful reload attempt: 2020-03-27T11:49:01.654211Z |
| - | last reload attempt: 2019-12-13T14:33:39Z | + | last reload attempt: 2020-03-27T11:49:01.654211Z |
| - | service: shibboleth.AttributeResolverService | + | metadata source: ShibbolethMetadata |
| - | last successful reload attempt: 2019-12-13T14:33:30Z | + | last refresh attempt: 2020-03-27T11:49:16.181118Z |
| - | last reload attempt: 2019-12-13T14:33:30Z | + | last successful refresh: 2020-03-27T11:49:16.181118Z |
| + | last update: 2020-03-27T11:49:16.181118Z | ||
| - | DataConnector staticAttributes: has never failed | + | metadata source: eduidcz |
| + | last refresh attempt: 2020-03-27T11:49:08.331577Z | ||
| + | last successful refresh: 2020-03-27T11:49:08.331577Z | ||
| + | last update: 2020-03-27T11:49:08.331577Z | ||
| + | root validUntil: 2020-04-22T23:53:01Z | ||
| - | DataConnector myLDAP: has never failed | + | metadata source: edugain |
| + | last refresh attempt: 2020-03-27T11:49:16.181118Z | ||
| + | last successful refresh: 2020-03-27T11:49:16.181118Z | ||
| + | last update: 2020-03-27T11:49:16.181118Z | ||
| + | root validUntil: 2020-04-23T12:03:02Z | ||
| - | DataConnector myStoredId: has never failed | + | service: shibboleth.ReloadableAccessControlService |
| + | last successful reload attempt: 2020-03-27T11:49:11.405929Z | ||
| + | last reload attempt: 2020-03-27T11:49:11.405929Z | ||
| - | service: shibboleth.AttributeFilterService | + | service: shibboleth.ReloadableCASServiceRegistry |
| - | last successful reload attempt: 2019-12-13T14:33:29Z | + | last successful reload attempt: 2020-03-27T11:49:11.484428Z |
| - | last reload attempt: 2019-12-13T14:33:29Z | + | last reload attempt: 2020-03-27T11:49:11.484428Z |
| + | |||
| + | service: shibboleth.ManagedBeanService | ||
| + | last successful reload attempt: 2020-03-27T11:49:11.554208Z | ||
| + | last reload attempt: 2020-03-27T11:49:11.554208Z | ||
| </code> | </code> | ||
CESNET, z. s. p. o.
Generála Píky 26
16000 Praha 6
info@cesnet.cz
Tel: +420 234 680 222
GSM: +420 602 252 531
support@cesnet.cz