- de:shibidp:prepare-java|Vorarbeiten: Java/OpenJDK ^ de:shibidp:uebersicht|Überblick: Tutorial zur IdP-Inbetriebnahme ^ de:shibidp:prepare-zert|Vorarbeiten: Zertifikate ->
====== IdP-Vorarbeiten: Tomcat ======
===== Installation =====
==== Debian 12 ====
root@idp:~# apt install tomcat10
===== Startup-Konfiguration =====
Einige globale Java-Parameter müssen beim Tomcat-Start festgelegt werden. Das IdP-Servlet benötigt Zugriff auf das Filesystem:
==== Debian 12 ====
Für die Schreibberechtigungen vom Tomcat muss eine Override-Konfiguration für Systemd angelegt werden:
root@idp:~# mkdir /opt/shibboleth-idp/htdocs
root@idp:~# mkdir /opt/shibboleth-idp/logs
root@idp:~# mkdir /opt/shibboleth-idp/metadata
root@idp:~# systemctl edit tomcat10.service
Dadurch wird unter ''/etc/systemd/system/tomcat10.service.d'' eine Datei ''override.conf'' angelegt, die Sie wie folgt editieren und speichern:
### Editing /etc/systemd/system/tomcat10.service.d/override.conf
### Anything between here and the comment below will become the new contents of the file
[Service]
ReadWritePaths=/opt/shibboleth-idp/logs/
ReadWritePaths=/opt/shibboleth-idp/metadata/
### Lines below this comment will be discarded
**Achtung:**
* Das Einfügen muss im oberen Bereich der Datei zwischen den Kommentaren erfolgen, wie in der Datei auf Englisch beschrieben. Eine anderweitige Platzierung führt zu Fehlern.
* Bei der Angabe von nicht existenten Pfaden startet der Tomcat nicht.
===== Port-Konfiguration =====
In der Tomcat-Configuration wird dann
* aus Sicherheitsgründen der Default-Port 8080 abgeschaltet
* auf Port 8009 der AJP-Connector aktiviert über den der vorgelagerte Webserver Anfragen an Tomcat weiterleitet
* Die letzte Einstellung secretRequired kann auf false gesetzt werden, wenn der AJP-Connector innerhalb eines vertrauenswürdigen Netzwerks läuft. Steht das Setting auf true, so muss zusätzlich das secret angegeben werden ([[https://tomcat.apache.org/tomcat-9.0-doc/config/ajp.html|siehe Tomcat-Doku]]).
=== Tomcat-Loader-Pfad erweitern ===
Sofern obige Symlink-Variante nicht funktioniert kann stattdessen der Tomcat-Loader-Pfad in ''/etc/tomcat10/catalina.properties''
erweitert werden:
common.loader="${catalina.base}/lib","${catalina.base}/lib/*.jar","${catalina.home}/lib","${catalina.home}/lib/*.jar",/usr/share/java/*.jar
===== Konfiguration für das IdP-Servlet vorbereiten =====
Um das IdP-Servlet im Tomcat zu aktivieren, erstellen Sie folgende Datei im Tomcat-localhost-Context:
**Sie haben jetzt eine Tomcat-Konfiguration, die nicht startet, solange nichts unter /opt/shibboleth liegt!**
Weiter geht es mit den [[de:shibidp:prepare-zert|Zertifikaten]].
{{tag>idp5 tutorial }}