Rozdiely

Tu môžete vidieť rozdiely medzi vybranou verziou a aktuálnou verziou danej stránky.

Odkaz na tento prehľad zmien

Obojstranná predošlá revízia Predchádzajúca revízia
Nasledujúca revízia		 Predchádzajúca revízia
install:idp:instalacia_a_nastavenie_shibboleth_idp [13. 08. 2021 09:29] mstanislav@umb.skinstall:idp:instalacia_a_nastavenie_shibboleth_idp [07. 04. 2025 11:56] (aktuálne) – externá úprava 127.0.0.1
Riadok 45: Riadok 45:
  
 1) Backchannel PKCS12 = vygenerované heslo 1 1) Backchannel PKCS12 = vygenerované heslo 1
 +
 2) Cookie Encryption = vygenerované heslo 2 2) Cookie Encryption = vygenerované heslo 2
  
Riadok 253: Riadok 254:
 openssl rand -base64 36 2>/dev/null openssl rand -base64 36 2>/dev/null
 </code> </code>
 +
  
 Potom môžeme pristúpiť k úprave súboru: Potom môžeme pristúpiť k úprave súboru:
Riadok 265: Riadok 267:
 # Default access to LDAP authn and attribute stores. # Default access to LDAP authn and attribute stores.
 idp.authn.LDAP.bindDNCredential              = Tu vložíme heslo, ktoré máme definované pre bind konto v LDAP  idp.authn.LDAP.bindDNCredential              = Tu vložíme heslo, ktoré máme definované pre bind konto v LDAP 
-idp.persistentId.salt                        = Tu vložíme vygenerovaný salt pre perzistentný NameID identifikátor+idp.persistentId.salt                        = Tu vložíme vygenerovaný salt
 idp.attribute.resolver.LDAP.bindDNCredential = %{idp.authn.LDAP.bindDNCredential:undefined} idp.attribute.resolver.LDAP.bindDNCredential = %{idp.authn.LDAP.bindDNCredential:undefined}
 </code> </code>
 +
 +<alert type="danger" icon="glyphicon glyphicon-alert">
 +Vloženú vygenerovanú hodnotu v "idp.persistentId.salt" nikdy nemeníme!</alert>
 +
  
 Obmedzenie prístupu IP adries k stránkam so špecifickou funkcionalitou: Obmedzenie prístupu IP adries k stránkam so špecifickou funkcionalitou:
Riadok 327: Riadok 333:
         xsi:type="FileBackedHTTPMetadataProvider"         xsi:type="FileBackedHTTPMetadataProvider"
         backingFile="%{idp.home}/metadata/safeid-interfed.xml"         backingFile="%{idp.home}/metadata/safeid-interfed.xml"
-        metadataURL="https://www.safeid.sk/metadata/safeid-interfed.xml"+        metadataURL="https://metadata.safeid.sk/metadata/safeid-interfed.xml"
         maxRefreshDelay="PT30M">         maxRefreshDelay="PT30M">
    
Riadok 373: Riadok 379:
     </MetadataProvider>     </MetadataProvider>
     -->     -->
-</code> 
- 
 </code> </code>
  
Riadok 399: Riadok 403:
  
 ''attribute-resolver.xml'' ''attribute-resolver.xml''
- 
-Vygenerujeme si ďalší nový "salt": 
- 
-<code> 
-openssl rand -base64 36 2>/dev/null 
-</code> 
  
 Otvoríme konfiguráciu: Otvoríme konfiguráciu:
Riadok 412: Riadok 410:
 </code> </code>
  
-Do konfigurácie doplníme nový atribút a nový konektor, do ktorého doplníme vygenerovaný "salt":+Do konfigurácie doplníme nový atribút a nový konektor, do ktorého doplníme "salt", ktorý už máme vygenerovaný - nevytvárame nový:
  
 <code xml> <code xml>
Riadok 430: Riadok 428:
     xsi:type="StoredId"      xsi:type="StoredId" 
     generatedAttributeID="storedId"      generatedAttributeID="storedId" 
-    salt="Napíšeme salt, ktorý sme si vygenerovali" +    salt="Napíšeme salt, ktorý sme už vygenerovali v predchadzajúcich krokoch
     queryTimeout="0">     queryTimeout="0">
     <InputAttributeDefinition ref="uid"/>     <InputAttributeDefinition ref="uid"/>
Riadok 622: Riadok 620:
 systemctl edit jetty9 systemctl edit jetty9
 </code> </code>
 +
 +<alert type="info" icon="glyphicon glyphicon-info-sign">
 +V pípade distribúcie Debian 11 bullseye môžete nastavenia doplniť do konfigurácie služby pomocou:
 +
 +nano /etc/systemd/system/multi-user.target.wants/jetty9.service
 +</alert>
  
 Nastavenie oprávnení pre zápis do adresárov /opt/shibboleth-idp/{logs,metadata}: Nastavenie oprávnení pre zápis do adresárov /opt/shibboleth-idp/{logs,metadata}:
  • install/idp/instalacia_a_nastavenie_shibboleth_idp.1628839748
  • Posledná úprava: 07. 04. 2025 11:56