Toruń 28/29.10.2014. Shibboleth SP działa z poziomu serwera HTTP, jest niezależny od języka programowania, pozwala zintegrować dowolną aplikację ze środowiskiem.

Prezentacja na temat: "Toruń 28/29.10.2014. Shibboleth SP działa z poziomu serwera HTTP, jest niezależny od języka programowania, pozwala zintegrować dowolną aplikację ze środowiskiem."— Zapis prezentacji:

1 Toruń 28/29.10.2014

2 Shibboleth SP działa z poziomu serwera HTTP, jest niezależny od języka programowania, pozwala zintegrować dowolną aplikację ze środowiskiem logowania federacyjnego Shibboleth SP to oprogramowanie składające się z – demona shibd – modułu Apache Wymagania – serwer HTTP – usługa NTP Instalacja – Debian apt-get install libapache2-mod-shib2 shibboleth-sp2-schemas

3 Systemy „yum” cd /etc/yum.repos.d # CentOS 7 wget http://download.opensuse.org/repositories/security:/ /shibboleth/CentOS_7/security:shibboleth.repo http://download.opensuse.org/repositories/security:/ /shibboleth/CentOS_7/security:shibboleth.repo # CentOS 6 wget http://download.opensuse.org/repositories/security:/ /shibboleth/CentOS_CentOS-6/security:shibboleth.repo # 32b http://download.opensuse.org/repositories/security:/ /shibboleth/CentOS_CentOS-6/security:shibboleth.repo yum install shibboleth # 64b yum install shibboleth.x86_64

4 Dodanie modułu shib2 do serwera Apache Konfiguracja serwera Apache – wirtualny host SSL – docelowo musi używać certyfikatu wystawionego przez ogólnie znany urząd (np. TCS) – lokalizacja wymagająca uwierzytelnienia via Shibboleth AuthType shibboleth ShibRequestSetting requireSession 1 require valid-user

5 Tworzymy parę klucz prywatny, certyfikat (self-signed), na potrzeby SP (podpisywanie i szyfrowanie) openssl req -newkey rsa:2048 -new -x509 -days 365 -nodes -out shib.pem -keyout shib.key – umieszczamy pliki w katalogu /etc/shibboleth Dostosowanie pliku /etc/shibboleth/shibboleth2.xml <ApplicationDefaults entityId=https://nasz_URL/shibbolethhttps://nasz_URL/shibboleth – wskazujemy przygotowane klucze Polecenie shibd –t testuje konfiguracje

6 Metadane przygotowanego SP https://nazwa_uslugi/Shibboleth.sso/Metadata – metadane te należy przed publikacją dostosować m.in. trzeba dodać elementy opisujące dane kontaktowe, przynależność instytucjonalną oraz informacje o tym, jakie atrybuty SP powinien otrzymywać Metadane wszystkich IdP, z którymi SP ma współpracować – np. wpis w pliku shibboleth2.xml <MetadataProvider type="XML" file="test-shibidp.xml"/> oznacza, że pobierane są dane ze wskazanego pliku

7 Pobieranie metadanych eduGAIN (dot. IdP) http://aai.pionier.net.pl/pionierid-edugain- idp.xml – w pliku pionieridsigner.pem umieszczamy certyfikat pobrany ze strony Informacje techniczne PIONIER.IdInformacje techniczne PIONIER.Id

8 Jeśli SP ma kontaktować się z jednym IdP (np. w ramach testów), umieszczamy w pliku shibboleth2.xml https://nazwa_idp/idp/shibboleth SAML2 SP może używać usługi zw. Discovery Service do wyszukiwania właściwego IdP SAML2https://aai.pionier.net.pl/WAYF PIONIER.Id udostępnia centralną usługę Discovery Service https://aai.pionier.net.pl/WAYF https://aai.pionier.net.pl/WAYF

9 Plik /etc/shibboleth/attribute-map.xml zawiera wykaz atrybutów, które są akceptowane Plik /etc/shibboleth/attribute-policy.xml określa zasady dotyczące akceptowanych wartości atrybutów – można ustalić zestaw dozwolonych wartości konkretnego atrybutu (np. tylko wartości słownikowe w przypadku eduPersonAffiliation), – można ustalić, że wartość atrybutu musi zawierać dozwolony w danym IdP zasięg (scope)

10 Domyślnie shibd loguje do plików w katalogu /var/log/shibboleth – główny log jest w pliku shibd.log Zasady logowania określa plik konfiguracyjny /etc/shibboleth/shibd.logger – można zwiększyć poziom logowania, tak by śledzić pracę w czasie testów – po zmianie ustawień konieczny jest restart shibd

11