Rozdiely

Tu môžete vidieť rozdiely medzi vybranou verziou a aktuálnou verziou danej stránky.

Odkaz na tento prehľad zmien

Obojstranná predošlá revízia Predchádzajúca revízia
Nasledujúca revízia 		Predchádzajúca revízia
install:idp:instalacia_a_nastavenie_shibboleth_idp [24. 05. 2021 14:32]
jnamesny@umb.sk 		install:idp:instalacia_a_nastavenie_shibboleth_idp [28. 12. 2023 20:32] (aktuálne)
mstanislav@umb.sk
Riadok 45: Riadok 45:
  
 1) Backchannel PKCS12 = vygenerované heslo 1 1) Backchannel PKCS12 = vygenerované heslo 1
 +
 2) Cookie Encryption = vygenerované heslo 2 2) Cookie Encryption = vygenerované heslo 2
  
Riadok 132: Riadok 133:
 #idp.consent.StorageService = shibboleth.ClientPersistentStorageService #idp.consent.StorageService = shibboleth.ClientPersistentStorageService
 idp.consent.StorageService = shibboleth.JPAStorageService idp.consent.StorageService = shibboleth.JPAStorageService
-idp.storage.htmlLocalStorage = false+idp.storage.htmlLocalStorage = true
 </code> </code>
  
Riadok 211: Riadok 212:
 # for AD: idp.authn.LDAP.bindDN=adminuser@domain.com # for AD: idp.authn.LDAP.bindDN=adminuser@domain.com
 idp.authn.LDAP.bindDN                           = cn=idp,ou=example,dc=náš,dc=ldap,dc=sk idp.authn.LDAP.bindDN                           = cn=idp,ou=example,dc=náš,dc=ldap,dc=sk
-idp.authn.LDAP.bindDNCredential                 = XxxXXxxxXXxxxxXXXxxxxXxXxXxxxX 
 idp.ldaptive.provider                           = org.ldaptive.provider.unboundid.UnboundIDProvider idp.ldaptive.provider                           = org.ldaptive.provider.unboundid.UnboundIDProvider
  
Riadok 254: Riadok 254:
 openssl rand -base64 36 2>/dev/null openssl rand -base64 36 2>/dev/null
 </code> </code>
 +
  
 Potom môžeme pristúpiť k úprave súboru: Potom môžeme pristúpiť k úprave súboru:
Riadok 265: Riadok 266:
 <code> <code>
 # Default access to LDAP authn and attribute stores. # Default access to LDAP authn and attribute stores.
-idp.authn.LDAP.bindDNCredential              = Tu vložíme heslo, ktoré máme definované pre bind konto v LDAP konfigurácii (idp.authn.LDAP.bindDNCredential) +idp.authn.LDAP.bindDNCredential              = Tu vložíme heslo, ktoré máme definované pre bind konto v LDAP  
-idp.persistentId.salt                        = Tu vložíme vygenerovaný salt pre perzistentný NameID identifikátor+idp.persistentId.salt                        = Tu vložíme vygenerovaný salt
 idp.attribute.resolver.LDAP.bindDNCredential = %{idp.authn.LDAP.bindDNCredential:undefined} idp.attribute.resolver.LDAP.bindDNCredential = %{idp.authn.LDAP.bindDNCredential:undefined}
 </code> </code>
 +
 +<alert type="danger" icon="glyphicon glyphicon-alert">
 +Vloženú vygenerovanú hodnotu v "idp.persistentId.salt" nikdy nemeníme!</alert>
 +
  
 Obmedzenie prístupu IP adries k stránkam so špecifickou funkcionalitou: Obmedzenie prístupu IP adries k stránkam so špecifickou funkcionalitou:
Riadok 328: Riadok 333:
         xsi:type="FileBackedHTTPMetadataProvider"         xsi:type="FileBackedHTTPMetadataProvider"
         backingFile="%{idp.home}/metadata/safeid-interfed.xml"         backingFile="%{idp.home}/metadata/safeid-interfed.xml"
-        metadataURL="https://www.safeid.sk/metadata/safeid-interfed.xml"+        metadataURL="https://metadata.safeid.sk/metadata/safeid-interfed.xml"
         maxRefreshDelay="PT30M">         maxRefreshDelay="PT30M">
    
Riadok 347: Riadok 352:
         </MetadataFilter>         </MetadataFilter>
     </MetadataProvider>     </MetadataProvider>
 +
 +<!-- safeID metadata -->
 +    <!-- safeID
 +    <MetadataProvider
 +        id="safeid-metadata"
 +        xsi:type="FileBackedHTTPMetadataProvider"
 +        backingFile="%{idp.home}/metadata/metadata.safeid.sk.xml"
 +        metadataURL="https://metadata.safeid.sk/metadata/metadata.safeid.sk.xml"
 +        maxRefreshDelay="PT30M">
 +
 +        <MetadataFilter
 +            xsi:type="SignatureValidation"
 +            requireSignedRoot="true"
 +            certificateFile="%{idp.home}/credentials/safeid-metadata-signing.pem" />
 +
 +        <MetadataFilter
 +            xsi:type="RequiredValidUntil"
 +            maxValidityInterval="P30D" />
 +
 +        <MetadataFilter
 +            xsi:type="Algorithm">
 +
 +            <md:EncryptionMethod Algorithm="http://www.w3.org/2001/04/xmlenc#aes128-cbc"/>
 +            <ConditionRef>shibboleth.Conditions.TRUE</ConditionRef>
 +        </MetadataFilter>
 +    </MetadataProvider>
 +    -->
 </code> </code>
  
Riadok 371: Riadok 403:
  
 ''attribute-resolver.xml'' ''attribute-resolver.xml''
- 
-Vygenerujeme si ďalší nový "salt": 
- 
-<code> 
-openssl rand -base64 36 2>/dev/null 
-</code> 
  
 Otvoríme konfiguráciu: Otvoríme konfiguráciu:
Riadok 384: Riadok 410:
 </code> </code>
  
-Do konfigurácie doplníme nový atribút a nový konektor, do ktorého doplníme vygenerovaný "salt":+Do konfigurácie doplníme nový atribút a nový konektor, do ktorého doplníme "salt", ktorý už máme vygenerovaný - nevytvárame nový:
  
 <code xml> <code xml>
Riadok 402: Riadok 428:
     xsi:type="StoredId"      xsi:type="StoredId" 
     generatedAttributeID="storedId"      generatedAttributeID="storedId" 
-    salt="Napíšeme salt, ktorý sme si vygenerovali" +    salt="Napíšeme salt, ktorý sme už vygenerovali v predchadzajúcich krokoch
     queryTimeout="0">     queryTimeout="0">
     <InputAttributeDefinition ref="uid"/>     <InputAttributeDefinition ref="uid"/>
Riadok 408: Riadok 434:
 </DataConnector> </DataConnector>
 </code> </code>
 +
 +<alert type="success" icon="glyphicon glyphicon-info-sign">
 +[[install:idp:idp:attribute-reslover|Príklad konfigurácie attribute-resolver.xml]]
 +</alert>
 +
  
 Doplníme atribút aj do konfigurácie filtrov "attribute-filter.xml": Doplníme atribút aj do konfigurácie filtrov "attribute-filter.xml":
Riadok 434: Riadok 465:
     </AttributeFilterPolicy>     </AttributeFilterPolicy>
 </code> </code>
 +
 +<alert type="success" icon="glyphicon glyphicon-info-sign">
 +[[install:idp:idp:attribute-filter|Príklad konfigurácie attribute-filter.xml]]
 +</alert>
  
 ''idp-metadata.xml'' ''idp-metadata.xml''
Riadok 585: Riadok 620:
 systemctl edit jetty9 systemctl edit jetty9
 </code> </code>
 +
 +<alert type="info" icon="glyphicon glyphicon-info-sign">
 +V pípade distribúcie Debian 11 bullseye môžete nastavenia doplniť do konfigurácie služby pomocou:
 +
 +nano /etc/systemd/system/multi-user.target.wants/jetty9.service
 +</alert>
  
 Nastavenie oprávnení pre zápis do adresárov /opt/shibboleth-idp/{logs,metadata}: Nastavenie oprávnení pre zápis do adresárov /opt/shibboleth-idp/{logs,metadata}:
  • install/idp/instalacia_a_nastavenie_shibboleth_idp.1621859557
  • Posledná úprava: 24. 05. 2021 14:32