cs:tech:sp:shibboleth3

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Následující verze
Předchozí verze
Následující verze Obě strany příští revize
cs:tech:sp:shibboleth3 [2019/07/09 14:20]
jop@cesnet.cz vytvořeno
cs:tech:sp:shibboleth3 [2019/07/10 12:41]
jop@cesnet.cz [Metadata federace] -DiscoveryFilter
Řádek 212: Řádek 212:
     <​MetadataFilter type="​RequireValidUntil"​ maxValidityInterval="​2419200"/>​     <​MetadataFilter type="​RequireValidUntil"​ maxValidityInterval="​2419200"/>​
     <​MetadataFilter type="​Signature"​ certificate="​metadata.eduid.cz.crt.pem"​ verifyBackup="​false"/>​     <​MetadataFilter type="​Signature"​ certificate="​metadata.eduid.cz.crt.pem"​ verifyBackup="​false"/>​
- 
-    <​DiscoveryFilter type="​Blacklist"​ matcher="​EntityAttributes"​ trimTags="​true" ​ 
-        attributeName="​http://​macedir.org/​entity-category"​ 
-        attributeNameFormat="​urn:​oasis:​names:​tc:​SAML:​2.0:​attrname-format:​uri"​ 
-        attributeValue="​http://​refeds.org/​category/​hide-from-discovery"​ /> 
 </​MetadataProvider>​ </​MetadataProvider>​
  
Řádek 231: Řádek 226:
     <​MetadataFilter type="​RequireValidUntil"​ maxValidityInterval="​2419200"/>​     <​MetadataFilter type="​RequireValidUntil"​ maxValidityInterval="​2419200"/>​
     <​MetadataFilter type="​Signature"​ certificate="​metadata.eduid.cz.crt.pem"​ verifyBackup="​false"/>​     <​MetadataFilter type="​Signature"​ certificate="​metadata.eduid.cz.crt.pem"​ verifyBackup="​false"/>​
- 
-    <​DiscoveryFilter type="​Blacklist"​ matcher="​EntityAttributes"​ trimTags="​true" ​ 
-        attributeName="​http://​macedir.org/​entity-category"​ 
-        attributeNameFormat="​urn:​oasis:​names:​tc:​SAML:​2.0:​attrname-format:​uri"​ 
-        attributeValue="​http://​refeds.org/​category/​hide-from-discovery"​ /> 
 </​MetadataProvider>​ </​MetadataProvider>​
 </​code>​ </​code>​
Řádek 249: Řádek 239:
     <​MetadataFilter type="​RequireValidUntil"​ maxValidityInterval="​2419200"/>​     <​MetadataFilter type="​RequireValidUntil"​ maxValidityInterval="​2419200"/>​
     <​MetadataFilter type="​Signature"​ certificate="​metadata.eduid.cz.crt.pem"​ verifyBackup="​false"/>​     <​MetadataFilter type="​Signature"​ certificate="​metadata.eduid.cz.crt.pem"​ verifyBackup="​false"/>​
- 
-    <​DiscoveryFilter type="​Blacklist"​ matcher="​EntityAttributes"​ trimTags="​true" ​ 
-        attributeName="​http://​macedir.org/​entity-category"​ 
-        attributeNameFormat="​urn:​oasis:​names:​tc:​SAML:​2.0:​attrname-format:​uri"​ 
-        attributeValue="​http://​refeds.org/​category/​hide-from-discovery"​ /> 
 </​MetadataProvider>​ </​MetadataProvider>​
 </​code>​ </​code>​
Řádek 270: Řádek 255:
   * type="​Signature"​ -- ověří XML podpis v metadatech,   * type="​Signature"​ -- ověří XML podpis v metadatech,
   * certificate -- certifikát obsahující veřejný klíč použitý k ověření podpisu metadat.   * certificate -- certifikát obsahující veřejný klíč použitý k ověření podpisu metadat.
- 
-Význam elementu [[https://​wiki.shibboleth.net/​confluence/​display/​SP3/​DiscoveryFilter|DiscoveryFilter]]:​ 
- 
-  * type="​Blacklist"​ -- umožňí z metadat eliminovat některé entity, např. IdP z kategorie "Hide from Discovery"​. 
  
 ==== Vygenerování a konfigurace self-sign certifikátu ==== ==== Vygenerování a konfigurace self-sign certifikátu ====
Řádek 292: Řádek 273:
   * -e -- entityID, pro které certifikát vystavujeme.   * -e -- entityID, pro které certifikát vystavujeme.
  
-Certifikát,​ resp. klíč, se uloží do souboru ''​sp-cert.pem'',​ resp. ''​sp-key.pem''​ v adresáři ''/​etc/​shibboleth/''​. Nyní již jen zbývá nakonfigurovat použití self-sign certifikátu v Shibbolethu:​+Certifikát,​ resp. klíč, se uloží do souboru ''​sp-cert.pem'',​ resp. ''​sp-key.pem''​ v adresáři ''/​etc/​shibboleth/''​. Nyní již jen zbývá nakonfigurovat použití self-sign certifikátu v Shibbolethu. Původní elementy ''<​CredentialResolver>''​ zakomentujeme nebo smažeme a poté na jejich místo uvedeme následující (všimněte si, že oproti původním elementům zde není žádný atribut ''​use''​):
  
 <code xml> <code xml>
-<​CredentialResolver type="​File" ​use="​signing"​ +<​CredentialResolver type="​File"​ key="​sp-key.pem"​ certificate="​sp-cert.pem"/>​
-    key="​sp-key.pem"​ certificate="​sp-cert.pem"/>​ +
-<​CredentialResolver type="​File"​ use="​encryption"​ +
-    ​key="​sp-key.pem"​ certificate="​sp-cert.pem"/>​+
 </​code>​ </​code>​