Rozdiely
Tu môžete vidieť rozdiely medzi vybranou verziou a aktuálnou verziou danej stránky.
Obojstranná predošlá revízia Predchádzajúca revízia Nasledujúca revízia | Predchádzajúca revízia | ||
install:idp:instalacia_a_nastavenie_shibboleth_idp [30. 03. 2021 07:54] jnamesny@umb.sk |
install:idp:instalacia_a_nastavenie_shibboleth_idp [28. 12. 2023 20:32] (aktuálne) mstanislav@umb.sk |
||
---|---|---|---|
Riadok 45: | Riadok 45: | ||
1) Backchannel PKCS12 = vygenerované heslo 1 | 1) Backchannel PKCS12 = vygenerované heslo 1 | ||
+ | |||
2) Cookie Encryption = vygenerované heslo 2 | 2) Cookie Encryption = vygenerované heslo 2 | ||
Riadok 55: | Riadok 56: | ||
Proces inštalácie prebieha nasledovne: | Proces inštalácie prebieha nasledovne: | ||
- | <alert type="warning"> | + | <alert type="info" icon=" |
Pre demonštráciu je idp.example.org použitý iba ako príklad. | Pre demonštráciu je idp.example.org použitý iba ako príklad. | ||
</ | </ | ||
Riadok 102: | Riadok 103: | ||
Ďalej vieme rozhodovať či sa majú používať cookies alebo lokálne úložidká HTML. Možeme nastaviť aj predvolený šifrovací algoritmus pre šifrovanie XML. | Ďalej vieme rozhodovať či sa majú používať cookies alebo lokálne úložidká HTML. Možeme nastaviť aj predvolený šifrovací algoritmus pre šifrovanie XML. | ||
- | <alert type=" | + | <alert type=" |
Od Shibboleth IdP verzie 4.0.0 sa používa novší, bezpečnejší, | Od Shibboleth IdP verzie 4.0.0 sa používa novší, bezpečnejší, | ||
</ | </ | ||
Riadok 132: | Riadok 133: | ||
# | # | ||
idp.consent.StorageService = shibboleth.JPAStorageService | idp.consent.StorageService = shibboleth.JPAStorageService | ||
- | idp.storage.htmlLocalStorage = false | + | idp.storage.htmlLocalStorage = true |
</ | </ | ||
Riadok 211: | Riadok 212: | ||
# for AD: idp.authn.LDAP.bindDN=adminuser@domain.com | # for AD: idp.authn.LDAP.bindDN=adminuser@domain.com | ||
idp.authn.LDAP.bindDN | idp.authn.LDAP.bindDN | ||
- | idp.authn.LDAP.bindDNCredential | ||
idp.ldaptive.provider | idp.ldaptive.provider | ||
Riadok 254: | Riadok 254: | ||
openssl rand -base64 36 2>/ | openssl rand -base64 36 2>/ | ||
</ | </ | ||
+ | |||
Potom môžeme pristúpiť k úprave súboru: | Potom môžeme pristúpiť k úprave súboru: | ||
Riadok 265: | Riadok 266: | ||
< | < | ||
# Default access to LDAP authn and attribute stores. | # Default access to LDAP authn and attribute stores. | ||
- | idp.authn.LDAP.bindDNCredential | + | idp.authn.LDAP.bindDNCredential |
- | idp.persistentId.salt | + | idp.persistentId.salt |
idp.attribute.resolver.LDAP.bindDNCredential = %{idp.authn.LDAP.bindDNCredential: | idp.attribute.resolver.LDAP.bindDNCredential = %{idp.authn.LDAP.bindDNCredential: | ||
</ | </ | ||
+ | |||
+ | <alert type=" | ||
+ | Vloženú vygenerovanú hodnotu v " | ||
+ | |||
Obmedzenie prístupu IP adries k stránkam so špecifickou funkcionalitou: | Obmedzenie prístupu IP adries k stránkam so špecifickou funkcionalitou: | ||
Riadok 309: | Riadok 314: | ||
<code xml> | <code xml> | ||
- | <!-- safeID | + | |
+ | <!-- safeID | ||
< | < | ||
- | id=" | + | id=" |
xsi: | xsi: | ||
backingFile=" | backingFile=" | ||
Riadok 319: | Riadok 325: | ||
certificateFile=" | certificateFile=" | ||
</ | </ | ||
+ | --> | ||
+ | |||
+ | <!-- safeID interfederation --> | ||
+ | <!-- safeID & eduGAIN --> | ||
+ | < | ||
+ | id=" | ||
+ | xsi: | ||
+ | backingFile=" | ||
+ | metadataURL=" | ||
+ | maxRefreshDelay=" | ||
+ | |||
+ | < | ||
+ | xsi: | ||
+ | requireSignedRoot=" | ||
+ | certificateFile=" | ||
+ | |||
+ | < | ||
+ | xsi: | ||
+ | maxValidityInterval=" | ||
+ | |||
+ | < | ||
+ | xsi: | ||
+ | |||
+ | < | ||
+ | < | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | <!-- safeID metadata --> | ||
+ | <!-- safeID | ||
+ | < | ||
+ | id=" | ||
+ | xsi: | ||
+ | backingFile=" | ||
+ | metadataURL=" | ||
+ | maxRefreshDelay=" | ||
+ | |||
+ | < | ||
+ | xsi: | ||
+ | requireSignedRoot=" | ||
+ | certificateFile=" | ||
+ | |||
+ | < | ||
+ | xsi: | ||
+ | maxValidityInterval=" | ||
+ | |||
+ | < | ||
+ | xsi: | ||
+ | |||
+ | < | ||
+ | < | ||
+ | </ | ||
+ | </ | ||
+ | --> | ||
</ | </ | ||
- | <alert type=" | + | <alert type=" |
Blok kódu musíme vložiť tak, že ho umiestnime do elementu < | Blok kódu musíme vložiť tak, že ho umiestnime do elementu < | ||
Riadok 327: | Riadok 387: | ||
</ | </ | ||
+ | <alert type=" | ||
+ | " | ||
- | Ďalej si potrebujeme stiahnuť verejný kľúč pre podpísanie | + | **Pre Vaše IdP potrebujete nastaviť** [[install: |
+ | |||
+ | Na stránke nájdete aj **aktuálny verejný kľúč** pre kontrolu podpisu metadát. | ||
+ | </ | ||
+ | |||
+ | Ďalej si potrebujeme stiahnuť verejný kľúč pre kontrolu podpisu | ||
< | < | ||
wget -P / | wget -P / | ||
- | https://www.safeid.sk/metadata/cert/ | + | https://metadata.safeid.sk/keys/safeid-metadata-signing.pem |
</ | </ | ||
'' | '' | ||
- | |||
- | Vygenerujeme si ďalší nový " | ||
- | |||
- | < | ||
- | openssl rand -base64 36 2>/ | ||
- | </ | ||
Otvoríme konfiguráciu: | Otvoríme konfiguráciu: | ||
Riadok 349: | Riadok 410: | ||
</ | </ | ||
- | Do konfigurácie doplníme nový atribút a nový konektor, do ktorého doplníme | + | Do konfigurácie doplníme nový atribút a nový konektor, do ktorého doplníme " |
<code xml> | <code xml> | ||
Riadok 367: | Riadok 428: | ||
xsi: | xsi: | ||
generatedAttributeID=" | generatedAttributeID=" | ||
- | salt=" | + | salt=" |
queryTimeout=" | queryTimeout=" | ||
< | < | ||
Riadok 373: | Riadok 434: | ||
</ | </ | ||
</ | </ | ||
+ | |||
+ | <alert type=" | ||
+ | [[install: | ||
+ | </ | ||
+ | |||
Doplníme atribút aj do konfigurácie filtrov " | Doplníme atribút aj do konfigurácie filtrov " | ||
Riadok 399: | Riadok 465: | ||
</ | </ | ||
</ | </ | ||
+ | |||
+ | <alert type=" | ||
+ | [[install: | ||
+ | </ | ||
'' | '' | ||
Riadok 550: | Riadok 620: | ||
systemctl edit jetty9 | systemctl edit jetty9 | ||
</ | </ | ||
+ | |||
+ | <alert type=" | ||
+ | V pípade distribúcie Debian 11 bullseye môžete nastavenia doplniť do konfigurácie služby pomocou: | ||
+ | |||
+ | nano / | ||
+ | </ | ||
Nastavenie oprávnení pre zápis do adresárov / | Nastavenie oprávnení pre zápis do adresárov / | ||
Riadok 625: | Riadok 701: | ||
last update: 2021-01-27T13: | last update: 2021-01-27T13: | ||
- | metadata source: safeid-metadata | + | metadata source: safeid-metadata-test |
last refresh attempt: 2021-01-27T13: | last refresh attempt: 2021-01-27T13: | ||
last successful refresh: 2021-01-27T13: | last successful refresh: 2021-01-27T13: | ||
Riadok 652: | Riadok 728: | ||
systemctl restart jetty9 | systemctl restart jetty9 | ||
</ | </ | ||
+ | |||
+ | Testovanie funkčnosti môžeme realizovať pomocou: | ||
+ | |||
+ | IdP Webová stránka | ||
+ | https:// | ||
+ | |||
+ | IdP Status | ||
+ | https:// | ||
+ | |||
+ | IdP Metadáta | ||
+ | https:// |