Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:aai:training:shibsp [2021/02/18 18:44] – Silke Meyer | de:aai:training:shibsp [2021/02/24 16:01] – [2. Auffüllen der Attribute Map] Silke Meyer |
---|
====== Einführung in den Shibboleth SP ====== | ====== Einführung in den Shibboleth SP ====== |
<callout color="#ff9900" title="Link zur VM folgt"> | <callout color="#ff9900" title="Download der Schulungs-VM"> |
Den Download-Link zur Schulungs-VM stellen wir in Kürze zur Verfügung. | Die Schulungs-VM können Sie sich [[https://download.aai.dfn.de/ws/2021/sp-schulung/2021-02-18_sp_workshop.ova|hier]] (.ova, 3,9 GB) herunterladen. |
</callout> | </callout> |
===== Hinweise zur virtuellen Maschine ===== | ===== Hinweise zur virtuellen Maschine ===== |
| |
Der IdP loggt nach ''/opt/shibboleth-idp/logs/''. In ''idp-process.log'' finden Sie u.a. die SAML-Assertions, der der IdP herausschickt. | Der IdP loggt nach ''/opt/shibboleth-idp/logs/''. In ''idp-process.log'' finden Sie u.a. die SAML-Assertions, der der IdP herausschickt. |
| |
| ===== Installation des Shibboleth SP ===== |
| |
<callout color="#99cc33" title="Lektüre"> | <callout color="#99cc33" title="Lektüre"> |
* [[https://wiki.shibboleth.net/confluence/display/SP3/ConfigurationFileSummary | Dokumentation im Shibboleth-Wiki: Configuration File Summary]] | * [[https://wiki.shibboleth.net/confluence/display/SP3/ConfigurationFileSummary | Dokumentation im Shibboleth-Wiki: Configuration File Summary]] |
</callout> | </callout> |
| |
===== Installation des Shibboleth SP ===== | |
| |
==== Apt-Repository von SWITCHaai einbinden ==== | ==== Apt-Repository von SWITCHaai einbinden ==== |
</code> | </code> |
| |
===== Informationen zur SP-Installation ===== | ===== Untersuchung der SP-Installation I ===== |
| |
* User und Gruppe ''_shibd'' | * User und Gruppe ''_shibd'' |
</callout> | </callout> |
| |
===== Untersuchung der Installation ===== | ===== Untersuchung der SP-Installation II ===== |
| |
Zunächst schauen Sie sich bitte noch etwas in der VM um. | Zunächst schauen Sie sich bitte noch etwas in der VM um. |
Da in der Schulungs-VM IdP und SPs direkt miteinander verbunden werden (also ohne das Bindeglied der Föderationsmetadaten), schauen Sie, wie das gemacht ist: | Da in der Schulungs-VM IdP und SPs direkt miteinander verbunden werden (also ohne das Bindeglied der Föderationsmetadaten), schauen Sie, wie das gemacht ist: |
* **Der SP kennt die IdP-Metadaten** aus ''/etc/shibboleth/shibboleth2.xml'': Sie sind dort verlinkt und liegen unter ''/opt/shibboleth-idp/metadata/idp-metadata.xml''. | * **Der SP kennt die IdP-Metadaten** aus ''/etc/shibboleth/shibboleth2.xml'': Sie sind dort verlinkt und liegen unter ''/opt/shibboleth-idp/metadata/idp-metadata.xml''. |
* **Der IdP kennt die SP-Metadaten für sp1.local und sp2.local** auch bereits. Sie liegen unter ''/opt/shibboleth-idp/metadata/''. Ein fertig konfigurierter Shibboleth SP stellt seine initialen Metadaten unter /Shibboleth.sso/Metadata zum Download bereit. So könnten Sie sie also herunterladen (die Zertifikatsprüfung wird nur hier in der Schulungs-VM übersprungen):<code bash>wget --no-check-certificate https://sp1.local/Shibboleth.sso/Metadata -O /opt/shibboleth-idp/metadata/sp1-metadata.xml | * **Der IdP kennt die SP-Metadaten für sp1.local und sp2.local** auch bereits. Sie liegen als Dateien unter ''/opt/shibboleth-idp/metadata/''. Diese Dateien sind eingebunden in ''/opt/shibboleth-idp/conf/metadata-providers.xml'' (unten). Ein fertig konfigurierter Shibboleth SP stellt seine initialen Metadaten unter /Shibboleth.sso/Metadata zum Download bereit. So könnten Sie sie also herunterladen (die Zertifikatsprüfung wird nur hier in der Schulungs-VM übersprungen):<code bash>wget --no-check-certificate https://sp1.local/Shibboleth.sso/Metadata -O /opt/shibboleth-idp/metadata/sp1-metadata.xml |
wget --no-check-certificate https://sp2.local/Shibboleth.sso/Metadata -O /opt/shibboleth-idp/metadata/sp2-metadata.xml</code> | wget --no-check-certificate https://sp2.local/Shibboleth.sso/Metadata -O /opt/shibboleth-idp/metadata/sp2-metadata.xml</code> |
| |
==== Der Identifier: REMOTE_USER ==== | ==== Der User-Identifier: REMOTE_USER ==== |
| |
Über die Variable REMOTE_USER wird in ''/etc/shibboleth/shibboleth2.xml'' der primäre Identifier der Browser-Nutzer*innen übergeben. Jedes in ''attribute-map.xml'' (s.u.) genannte Attribute kann als Quelle angegeben werden. Dazu wird die ''id'' referenziert, die in der Attribute Map steht. Bei Mehrfachnennung (mit Leerzeichen getrennt) wird das erste mit Werten befüllte Attribut verwendet. | Über die Variable REMOTE_USER wird in ''/etc/shibboleth/shibboleth2.xml'' der primäre Identifier der Browser-Nutzer*innen übergeben. Jedes in ''attribute-map.xml'' (s.u.) genannte Attribute kann als Quelle angegeben werden. Dazu wird die ''id'' referenziert, die in der Attribute Map steht. Bei Mehrfachnennung (mit Leerzeichen getrennt) wird das erste mit Werten befüllte Attribut verwendet. |
===== Übungen ===== | ===== Übungen ===== |
| |
==== 1. Loglevel ==== | ==== 1. Anpassung des Loglevels ==== |
| |
| <callout color="#ff9900" title="Screencast"> |
| Die Durchführung dieser Übung können Sie in unserem [[de:aai:training:shibsp_recordings#uebung_1anpassung_des_loglevels|Screencast]] ansehen. |
| </callout> |
| |
Behalten Sie in einer separaten Konsole die Logdateien des SP im Blick: | Behalten Sie in einer separaten Konsole die Logdateien des SP im Blick: |
Starten Sie den Daemon neu:<code bash>root@sp:~# systemctl restart shibd.service</code> | Starten Sie den Daemon neu:<code bash>root@sp:~# systemctl restart shibd.service</code> |
| |
==== 2. Attribute Map auffüllen ==== | ==== 2. Auffüllen der Attribute Map ==== |
| |
| <callout color="#ff9900" title="Screencast"> |
| Die Durchführung dieser Übung können Sie in unserem [[de:aai:training:shibsp_recordings#uebung_2auffuellen_der_attribute_map|Screencast]] ansehen. |
| </callout> |
| |
Editieren Sie die Datei ''/etc/shibboleth/attribute-map.xml''. Nur wenige Attribute sind hier einkommentiert. Damit der SP auch die anderen Attribute erkennt, entfernen Sie bitte die Kommentarzeichen um die übrigen Attribute. Auch die eduPersonUniqueId, die weiter unten verwendet werden soll, fehlt hier noch. Ergänzen Sie:<code xml><Attribute name="urn:oid:1.3.6.1.4.1.5923.1.1.1.13" id="eduPersonUniqueId"/></code>. | Editieren Sie die Datei ''/etc/shibboleth/attribute-map.xml''. Nur wenige Attribute sind hier einkommentiert. Damit der SP auch die anderen Attribute erkennt, entfernen Sie bitte die Kommentarzeichen um die übrigen Attribute. Auch die eduPersonUniqueId, die weiter unten verwendet werden soll, fehlt hier noch. Ergänzen Sie:<code xml><Attribute name="urn:oid:1.3.6.1.4.1.5923.1.1.1.13" id="eduPersonUniqueId"/></code>. |