Toruń 28/
Shibboleth SP działa z poziomu serwera HTTP, jest niezależny od języka programowania, pozwala zintegrować dowolną aplikację ze środowiskiem logowania federacyjnego Shibboleth SP to oprogramowanie składające się z – demona shibd – modułu Apache Wymagania – serwer HTTP – usługa NTP Instalacja – Debian apt-get install libapache2-mod-shib2 shibboleth-sp2-schemas
Systemy „yum” cd /etc/yum.repos.d # CentOS 7 wget /shibboleth/CentOS_7/security:shibboleth.repo /shibboleth/CentOS_7/security:shibboleth.repo # CentOS 6 wget /shibboleth/CentOS_CentOS-6/security:shibboleth.repo # 32b /shibboleth/CentOS_CentOS-6/security:shibboleth.repo yum install shibboleth # 64b yum install shibboleth.x86_64
Dodanie modułu shib2 do serwera Apache Konfiguracja serwera Apache – wirtualny host SSL – docelowo musi używać certyfikatu wystawionego przez ogólnie znany urząd (np. TCS) – lokalizacja wymagająca uwierzytelnienia via Shibboleth AuthType shibboleth ShibRequestSetting requireSession 1 require valid-user
Tworzymy parę klucz prywatny, certyfikat (self-signed), na potrzeby SP (podpisywanie i szyfrowanie) openssl req -newkey rsa:2048 -new -x509 -days 365 -nodes -out shib.pem -keyout shib.key – umieszczamy pliki w katalogu /etc/shibboleth Dostosowanie pliku /etc/shibboleth/shibboleth2.xml <ApplicationDefaults entityId= – wskazujemy przygotowane klucze Polecenie shibd –t testuje konfiguracje
Metadane przygotowanego SP – metadane te należy przed publikacją dostosować m.in. trzeba dodać elementy opisujące dane kontaktowe, przynależność instytucjonalną oraz informacje o tym, jakie atrybuty SP powinien otrzymywać Metadane wszystkich IdP, z którymi SP ma współpracować – np. wpis w pliku shibboleth2.xml <MetadataProvider type="XML" file="test-shibidp.xml"/> oznacza, że pobierane są dane ze wskazanego pliku
Pobieranie metadanych eduGAIN (dot. IdP) idp.xml – w pliku pionieridsigner.pem umieszczamy certyfikat pobrany ze strony Informacje techniczne PIONIER.IdInformacje techniczne PIONIER.Id
Jeśli SP ma kontaktować się z jednym IdP (np. w ramach testów), umieszczamy w pliku shibboleth2.xml SAML2 SP może używać usługi zw. Discovery Service do wyszukiwania właściwego IdP SAML2https://aai.pionier.net.pl/WAYF PIONIER.Id udostępnia centralną usługę Discovery Service
Plik /etc/shibboleth/attribute-map.xml zawiera wykaz atrybutów, które są akceptowane Plik /etc/shibboleth/attribute-policy.xml określa zasady dotyczące akceptowanych wartości atrybutów – można ustalić zestaw dozwolonych wartości konkretnego atrybutu (np. tylko wartości słownikowe w przypadku eduPersonAffiliation), – można ustalić, że wartość atrybutu musi zawierać dozwolony w danym IdP zasięg (scope)
Domyślnie shibd loguje do plików w katalogu /var/log/shibboleth – główny log jest w pliku shibd.log Zasady logowania określa plik konfiguracyjny /etc/shibboleth/shibd.logger – można zwiększyć poziom logowania, tak by śledzić pracę w czasie testów – po zmianie ustawień konieczny jest restart shibd