<- de:shibidp:config-mdv|Eintrag in Metadatenverwaltung ^ de:shibidp:uebersicht|Überblick: Tutorial zur IdP-Inbetriebnahme ^ de:shibidp:config-attributes-minimal|Minimalkonfiguration der Attribute ->
~~NOTOC~~
====== Anbindung des IdM (LDAP/AD) ======
{{INLINETOC 2}}

===== Vorbereitungen =====

==== Zertifikat am IdM ====

<callout color="#ff9900" title="Hostname = CN?">
Der Hostname des IdM muss im Zertifikat enthalten sein, entweder direkt im CN oder im SubjectAlternativeName!
</callout>

Der Pfad zum Root-Zertifikat der verwendeten PKI muss angegeben werden. So können Sie ihn vorab überprüfen:
<code bash>
root@idp:~# openssl s_client -connect ldap.uni-beispiel.de:ldaps -showcerts -CAfile /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem
</code>

==== Verbindungsparameter bereithalten ====

So können Sie die LDAP-/AD-Verbindungsparameter manuell prüfen:
<code bash>
root@idp:~# ldapsearch -x -W -D cn=idp,cn=systemusers,dc=hochschule-XY,dc=de -H ldaps://ldap.hochschule-XY.de -b "ou=people,dc=hochschule-XY=de" '(uid=irgendeinExistierenderUser)'
</code>

===== Konfiguration zweier Abfragen =====

Bei einem Login-Vorgang des Users am IdP macht der IdP im Hintergrund zwei LDAP-Abfragen:

  * Authentisierung des Users
  * Abruf der Attribute des Users

Diese beiden Schritte werden in der Datei ''./conf/ldap.properties'' unabhängig voneinander konfiguriert.

==== LDAP-Abfrage 1: User-Authentisierung ====

<file properties /opt/shibboleth-idp/conf/ldap.properties>
# Beispielkonfiguration, die für OpenLDAP und AD funktionieren kann:
idp.authn.LDAP.authenticator                    = bindSearchAuthenticator
idp.authn.LDAP.ldapURL                          = ldaps://ldap.hochschule-XY:636
idp.authn.LDAP.useStartTLS                      = false
idp.authn.LDAP.sslConfig                        = certificateTrust

# Wenn Ihr IdM den Aufbau eines LDAP-Connection-Pools nicht unterstützt, können Sie den Pool global abschalten,
# in dem Sie diese Zeile einfügen und das Kommentarzeichen entfernen:
# idp.authn.LDAP.disablePooling = true

# DFN-PKI:
#idp.authn.LDAP.trustCertificates                = /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem
# Sectigo-Zertifikat:
idp.authn.LDAP.trustCertificates                 = /etc/ssl/certs/USERTrust_RSA_Certification_Authority.pem
# lokales CA-Zertifikat:
#idp.authn.LDAP.trustCertificates                = /etc/ssl/certs/beispiel-hs_local_ca_cert.pem

# Wenn festgestellt werden soll, ob der Account aktiv ist, müssen die entsprechenden Attribute geholt werden
idp.authn.LDAP.returnAttributes                 = passwordExpirationTime,loginGraceRemaining

idp.authn.LDAP.baseDN                           = ou=people,dc=hochschule-XY,dc=de
# statt "(uid={user})" nehmen Sie bei AD üblicherweise "(cn={user})" oder "(sAMAccountName={user})"
idp.authn.LDAP.userFilter                       = (uid={user})
idp.authn.LDAP.bindDN                           = cn=idp,cn=systemusers,dc=hochschule-XY,dc=de
# Sofern die Useraccounts im LDAP in Sub-Bäumen verteilt sind, aktivieren Sie bitte dies:
#idp.authn.LDAP.subtreeSearch                    = true
</file>

Passwörter werden ab IdPv4 standardmäßig in der besser geschützen Datei ''./credentials/secrets.properties'' gespeichert. Hier hinterlegen Sie das Bind-Passwort.
<file properties /opt/shibboleth-idp/credentials/secrets.properties>
idp.authn.LDAP.bindDNCredential                 = geheim007
</file>

Laden Sie das Servlet neu:
<code bash>
root@idp:~# touch /opt/shibboleth-idp/war/idp.war
</code>

Siehe auch im Shibboleth Wiki unter [[https://wiki.shibboleth.net/confluence/display/IDP4/LDAPAuthnConfiguration|LDAPAuthnConfiguration]].

==== LDAP-Abfrage 2: User-Attribute ====

<file properties /opt/shibboleth-idp/conf/ldap.properties>
# wie bei Abfrage 1 muss hier das relevante User-Attribut angegeben werden, für
# MS-AD ist das üblicherweise "(cn=$resolutionContext.principal)" oder "(sAMAccountName=$resolutionContext.principal)"
idp.attribute.resolver.LDAP.searchFilter        = (uid=$resolutionContext.principal)
</file>

Triggern Sie das Einlesen der neuen Einstellungen:
<code bash>
root@idp:~# touch /opt/shibboleth-idp/war/idp.war
</code>

===== Test der LDAP-Verbindung =====
<callout color="#ff9900" title="Testen!">
Testen Sie die LDAP-Verbindung, bevor Sie weitermachen. Attribute werden Ihnen zum jetzigen Zeitpunkt noch nicht angezeigt.
</callout>

Sie haben im [[de:shibidp:config-mdv|letzten Schritt]] Ihren IdP in die Test-Föderation aufgenommen. Wenn seitdem mindestens 90 Minuten vergangen sind, können Sie jetzt einen ersten Login-Versuch mithilfe unseres öffentlichen [[https://testsp3.aai.dfn.de/|Test-SP3]] machen. 

Weitere Informationen zu den Test-SPs finden Sie unter [[de:functionaltest_idp|Funktionstest IdP]].

==== Troubleshooting ====
  * Wenn Sie den Fehler ''opensaml::SecurityPolicyException'' bekommen, sehen Sie bitte auf der [[de:shibidp:troubleshooting#opensamlsecuritypolicyexception|Troubleshooting]]-Seite nach.
  * Beim LDAP-Fehler ''Invalid Credentials'' stellen Sie bitte sicher, dass Sie in ''./conf/ldap.properties'' bzw. ''./credentials/secrets.properties'' **bei den Zugangsdaten des Bind-Accounts keine Leerzeichen an den Zeilenenden** stehen haben. Das Passwort steht //nicht// in Hochkommata oder Anführungszeichen.
  * Sollten Sie nicht erfolgreich zum Test-SP zurückgeleitet werden, achten Sie darauf, von welchem System die Fehlermeldung im Browser generiert wird: Entsteht sie am IdP oder an unserem Test-SP? Schauen Sie bitte in der Logdatei ''./logs/idp-process.log'' oder im [[https://wiki.shibboleth.net/confluence/display/IDP4/Troubleshooting|Shibboleth-Wiki]] nach möglichen Ursachen.
  * Sollten Sie damit nicht weiterkommen, senden Sie uns bitte einen Screenshot der Fehlermeldung und den genauen Zeitpunkt, zu dem der Fehler aufgetreten ist, damit wir mithilfe unseres SP-Logs die Ursache bestimmen können.

Erst wenn der Login funktioniert, sollten Sie weitermachen.

{{tag>idp4 tutorial ldap idm included-in-ansible}}