Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
de:shibidp3config-idm [2017/11/20 09:06] – Wolfgang Pempe | de:shibidp3config-idm [2021/05/03 13:16] (aktuell) – gelöscht Silke Meyer | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ======Anbindung IdM (LDAP/ | ||
- | |||
- | Bei einem Login-Vorgang des Users am IdP macht der IdP im Hintergrund zwei LDAP-Abfragen: | ||
- | |||
- | * Authentisierung des Users | ||
- | * Abruf der Attribute des Users | ||
- | |||
- | Diese beiden Schritte werden in ldap.properties unabhängig voneinander konfiguriert: | ||
- | |||
- | === LDAP-Abfrage 1: User-Authentisierung === | ||
- | |||
- | <file properties / | ||
- | # bitte entsprechend den Möglichkeiten Ihres IdM-Systems anpassen, im Beispiel | ||
- | # eine Konfiguration wie Sie für OpenLDAP und auch Active Directory funktionieren kann: | ||
- | idp.authn.LDAP.authenticator | ||
- | # ACHTUNG: Hostname des LDAP-Servers muss mit dem CN-Wert (bzw. einem der alternativen | ||
- | # Hostnamen) im Zertifikat übereinstimmen! | ||
- | idp.authn.LDAP.ldapURL | ||
- | idp.authn.LDAP.useStartTLS | ||
- | idp.authn.LDAP.useSSL | ||
- | idp.authn.LDAP.sslConfig | ||
- | # | ||
- | # Pfad zum Root-Zertifikat der verwendeten PKI, dieser sollte folgendermassen überprüft werden | ||
- | # bevor er im IdP konfiguriert wird (Beispiel für DFN-PKI): | ||
- | # | ||
- | # openssl s_client -connect ldap.uni-beispiel.de: | ||
- | # -CAfile / | ||
- | # | ||
- | # Wichtig ist dass der Hostnamen des LDAP/ | ||
- | # dass der LDAP/ | ||
- | # Gründen nicht der Fall sein, kann die Zertifikatsüberprüfung mit folgender Konfiguration doch noch | ||
- | # erfolgreich gemacht werden: | ||
- | # | ||
- | # * zu den JAVA-Start-Optionen von Tomcat hinzufügen: | ||
- | # * in /etc/hosts den Zertifikatsnamen mit der IP des LDAP/ | ||
- | # | ||
- | # | ||
- | # | ||
- | # ' | ||
- | idp.authn.LDAP.trustCertificates | ||
- | # ' | ||
- | # | ||
- | # bei Verwendung einer lokalen CA (default bei MS ActiveDirectory) muss das lokale CA-Zertifikat | ||
- | # referenziert werden: | ||
- | # | ||
- | # | ||
- | # sofern während der Auth-Phase festgestellt werden | ||
- | # hier die entsprechenden Attribute angegeben werden | ||
- | # (FIXME: konkretes Beispiel für OpenLDAP und AD heraussuchen) | ||
- | idp.authn.LDAP.returnAttributes | ||
- | # | ||
- | # LDAP-Verbindungsparameter, | ||
- | # konfiguriert werden: | ||
- | # | ||
- | # ldapsearch -H ldaps:// | ||
- | # -b " | ||
- | # -D cn=idp, | ||
- | # -x -w ' | ||
- | # | ||
- | # | ||
- | idp.authn.LDAP.baseDN | ||
- | # statt " | ||
- | idp.authn.LDAP.userFilter | ||
- | idp.authn.LDAP.bindDN | ||
- | idp.authn.LDAP.bindDNCredential | ||
- | # sofern die User im LDAP in Sub-Bäumen verteilt sind bitte das hier aktivieren: | ||
- | # | ||
- | |||
- | </ | ||
- | |||
- | Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!): | ||
- | <code bash> | ||
- | root@idp-dev:/ | ||
- | </ | ||
- | |||
- | Siehe auch im Shibboleth Wiki unter [[https:// | ||
- | |||
- | === LDAP-Abfrage 2: User-Attribute === | ||
- | |||
- | <file properties / | ||
- | # wie bei Abfrage 1 muss hier das relevante User-Attribut angegeben werden, für | ||
- | # MS-AD ist das üblicherweise " | ||
- | idp.attribute.resolver.LDAP.searchFilter | ||
- | </ | ||
- | |||
- | Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!): | ||
- | <code bash> | ||
- | root@idp-dev:/ | ||
- | </ | ||
- | |||
- | === Bevor Sie weiter machen müssen Sie unbedingt die LDAP-Verbindung testen! === | ||
- | |||
- | * tragen Sie Ihren idP in der [[https:// | ||
- | * warten Sie 90 min bis der neue Eintrag auf den DFN-Testsystemen angekommen ist | ||
- | * machen Sie mithilfe unserer Test-SPs einen ersten Login-Versuch, | ||
- | |||
- | Es werden Ihnen jetzt noch keine Attribute angezeigt, was aber nicht weiter tragisch ist. | ||
- | |||
- | Sollten Sie nicht erfolgreich zum SP zurückgeleitet werden, achten Sie darauf, von welchem | ||
- | System die Fehlermeldung im Browser generiert wird. Entsteht die Fehlermeldung am IdP, | ||
- | schauen Sie bitte in idp-process.log nach, was die Ursache ist. Generiert unser Test-SP | ||
- | die Fehlermeldung, | ||
- | Sollten Sie damit nicht weiterkommen, | ||
- | und den genauen Zeitpunkt, zu dem der Fehler aufgetreten ist, damit wir mithilfe unseres | ||
- | SP-Logs die Ursache bestimmen können. | ||
- | |||
- | Erst wenn der Login funktioniert sollten Sie die [[de: | ||
- | |||