de:eduroam:lookingglass [Dokumentation DFN-AAI, DFN-PKI und eduroam]

Das TLSLookingGlass erlaubt lokalen Admins Einsicht in die TLS-Handshakes, die beim eduroam-Login zwischen RADIUS-Server und Client passieren.

Das Tool finden Sie unter https://tlslg.eduroam.de, der Login geschieht über die DFN-AAI.

Konfiguration des Shibboleth-IdP

Benötigte Attribute

samlPairwiseID, zur Generierung siehe hier
eduPersonEntitlement mit dem Wert https://www.dfn.de/entitlement/eduroam/tlslg

Beispiel Attributfreigabe

./conf/attribute-filter.xml

<AttributeFilterPolicy id="eduroam_tlslg">
  <PolicyRequirementRule xsi:type="Requester" value="https://tlslg.eduroam.de" />
  <AttributeRule attributeID="eduPersonEntitlement">
       <PermitValueRule xsi:type="Value" value="https://www.dfn.de/entitlement/eduroam/tlslg" /> 
  </AttributeRule>
  <AttributeRule attributeID="samlPairwiseID"             permitAny="true"/>
</AttributeFilterPolicy>

Hinweis:

Bei älteren IdPs (Upgrade von Version 3.x) kann es vorkommen, dass das Attribute Transcoding noch im Attribute Resolver vorgenommen wird. In diesem (und nur in diesem!) Fall muss in der Attribute Definition jeweils noch ein AttributeEncoder ergänzt werden:
eduPersonEntitlement

<AttributeEncoder xsi:type="SAML2String" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7" friendlyName="eduPersonEntitlement" encodeType="false"/>

samlPairwiseID

<AttributeEncoder xsi:type="SAML2ScopedString" name="urn:oasis:names:tc:SAML:attribute:pairwise-id" friendlyName="pairwise-id" encodeType="false" />

Siehe auch die Hinweise zum Debbuging