de:shibidp:wann_wurde_der_idp_neu

Wurde der IdP vor oder nach 4.1.x neu aufgesetzt?

Wenn Sie nicht wissen, wann der Shibboleth IdP in Ihrem Hause zuletzt neu aufgesetzt wurden, können die folgenden Gegebenheiten Indizien für eine mitgeschleifte Konfiguration von vor 4.1.x sein:

Die Attribute Registry ist zwar vorhanden, aber noch nicht in Betrieb. Das ist der Fall, wenn die folgenden Zeilen in conf/services.xml durch Kommentarzeichen noch deaktiviert sind:

/opt/shibboleth-idp/conf/services.xml

    <!--
    <util:list id ="shibboleth.AttributeRegistryResources">
        <value>%{idp.home}/conf/attribute-registry.xml</value>
        <value>%{idp.home}/conf/attributes/default-rules.xml</value>
        <value>%{idp.home}/conf/attribute-resolver.xml</value>
    </util:list>
    -->

Es existiert noch ein Ordner /opt/shibboleth-idp/system.

Es sind zahlreiche Module aktiviert („enabled“), die Sie höchstwahrscheinlich nicht benötigen und nie explizit aktiviert haben, z.B. idp.authn.Duo.

root@idp:~# ./bin/module.sh -l
Module: idp.authn.Duo [ENABLED]
Module: idp.authn.External [ENABLED]
Module: idp.authn.Function [ENABLED]
Module: idp.authn.IPAddress [ENABLED]
Module: idp.authn.MFA [ENABLED]
Module: idp.authn.Password [ENABLED]
Module: idp.authn.RemoteUser [ENABLED]
Module: idp.authn.RemoteUserInternal [ENABLED]
Module: idp.authn.SPNEGO [ENABLED]
Module: idp.authn.X509 [DISABLED]
Module: idp.authn.Demo [DISABLED]
Module: idp.admin.Hello [ENABLED]
Module: idp.admin.UnlockKeys [DISABLED]
Module: idp.intercept.Consent [ENABLED]
Module: idp.intercept.ContextCheck [ENABLED]
Module: idp.intercept.ExpiringPassword [ENABLED]
Module: idp.intercept.Impersonate [ENABLED]
Module: idp.intercept.Warning [DISABLED]
Module: idp.profile.CAS [ENABLED]

Im Ordner conf/authn liegen Konfigurationsdateien für alle verfügbaren Login-Flows, auch solche, die Sie noch nie verwendet haben. Beispiel:

root@idp:~# ls /opt/shibboleth-idp/conf/authn/
authn-comparison.xml   duo.properties.idpnew             ipaddress-authn-config.xml         mfa-authn-config.xml                  remoteuser-internal-authn-config.xml.idpnew
authn-events-flow.xml  external-authn-config.xml         ipaddress-authn-config.xml.idpnew  password-authn-config.xml             saml-authn-config.xml
authn.properties       external-authn-config.xml.idpnew  jaas-authn-config.xml              password-authn-config.xml.idpnew      spnego-authn-config.xml
discovery-config.xml   function-authn-config.xml         jaas.config                        remoteuser-authn-config.xml           spnego-authn-config.xml.idpnew
duo-authn-config.xml   function-authn-config.xml.idpnew  krb5-authn-config.xml              remoteuser-authn-config.xml.idpnew    x509-authn-config.xml
duo.properties         general-authn.xml                 ldap-authn-config.xml              remoteuser-internal-authn-config.xml  x509-internal-authn-config.xml

Die Zeitstempel der Dateien in den Ordnern conf, messages und edit-webapp können eventuell Aufschluss darüber geben, wann der IdP aufgesetzt wurde. Hier sind die Zeitstempel der Dateien am interessantesten, die wahrscheinlich seit der Installation nicht mehr bearbeitet wurden. In einer Standard-Installation könnten das z.B. conf/cas-protocol.xml, conf/errors.xml oder auch edit-webapp/WEB-INF/web.xml sein.

Mitpflegen der Konfiguration in den 4.x-IdPs

→ Dokumentation

idp5