<- de:shibidp:prepare-java|Vorarbeiten: Java/OpenJDK ^ de:shibidp:uebersicht|Überblick: Tutorial zur IdP-Inbetriebnahme ^ de:shibidp:prepare-zert|Vorarbeiten: Zertifikate -> ====== IdP-Vorarbeiten: Tomcat ====== ===== Installation ===== ==== Debian 12 ==== root@idp:~# apt install tomcat10 ===== Startup-Konfiguration ===== Einige globale Java-Parameter müssen beim Tomcat-Start festgelegt werden. Das IdP-Servlet benötigt Zugriff auf das Filesystem: ==== Debian 12 ==== Für die Schreibberechtigungen vom Tomcat muss eine Override-Konfiguration für Systemd angelegt werden: root@idp:~# mkdir /opt/shibboleth-idp/htdocs root@idp:~# mkdir /opt/shibboleth-idp/logs root@idp:~# mkdir /opt/shibboleth-idp/metadata root@idp:~# systemctl edit tomcat10.service Dadurch wird unter ''/etc/systemd/system/tomcat10.service.d'' eine Datei ''override.conf'' angelegt, die Sie wie folgt editieren und speichern: ### Editing /etc/systemd/system/tomcat10.service.d/override.conf ### Anything between here and the comment below will become the new contents of the file [Service] ReadWritePaths=/opt/shibboleth-idp/logs/ ReadWritePaths=/opt/shibboleth-idp/metadata/ ### Lines below this comment will be discarded **Achtung:** * Das Einfügen muss im oberen Bereich der Datei zwischen den Kommentaren erfolgen, wie in der Datei auf Englisch beschrieben. Eine anderweitige Platzierung führt zu Fehlern. * Bei der Angabe von nicht existenten Pfaden startet der Tomcat nicht. ===== Port-Konfiguration ===== In der Tomcat-Configuration wird dann * aus Sicherheitsgründen der Default-Port 8080 abgeschaltet * auf Port 8009 der AJP-Connector aktiviert über den der vorgelagerte Webserver Anfragen an Tomcat weiterleitet * Die letzte Einstellung secretRequired kann auf false gesetzt werden, wenn der AJP-Connector innerhalb eines vertrauenswürdigen Netzwerks läuft. Steht das Setting auf true, so muss zusätzlich das secret angegeben werden ([[https://tomcat.apache.org/tomcat-9.0-doc/config/ajp.html|siehe Tomcat-Doku]]). === Tomcat-Loader-Pfad erweitern === Sofern obige Symlink-Variante nicht funktioniert kann stattdessen der Tomcat-Loader-Pfad in ''/etc/tomcat10/catalina.properties'' erweitert werden: common.loader="${catalina.base}/lib","${catalina.base}/lib/*.jar","${catalina.home}/lib","${catalina.home}/lib/*.jar",/usr/share/java/*.jar ===== Konfiguration für das IdP-Servlet vorbereiten ===== Um das IdP-Servlet im Tomcat zu aktivieren, erstellen Sie folgende Datei im Tomcat-localhost-Context: **Sie haben jetzt eine Tomcat-Konfiguration, die nicht startet, solange nichts unter /opt/shibboleth liegt!** Weiter geht es mit den [[de:shibidp:prepare-zert|Zertifikaten]]. {{tag>idp5 tutorial }}