Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Nächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision | ||
de:shibidp3config-idm [2017/02/24 15:08] – angelegt Raoul Gunnar Borenius | de:shibidp3config-idm [2021/04/26 14:53] – als deprecated markiert Silke Meyer | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====Anbindung IdM (LDAP/ | + | ~~NOTOC~~ |
+ | ====== Anbindung IdM (LDAP/AD) ====== | ||
+ | <callout color="# | ||
+ | </ | ||
+ | {{INLINETOC 2}} | ||
- | Die IdM-Anbindung | + | ===== Java-Version ===== |
- | + | Wenn Sie eine Version einsetzen, die **größer als Java 8** ist, und Ihr IdM über ldaps anbinden, müssen Sie aufgrund [[https:// | |
- | < | + | < |
- | ... | + | idp.ldaptive.provider=org.ldaptive.provider.unboundid.UnboundIDProvider |
- | <!-- aus Datenschutzgründen nur 14 Tage aufbewahren --> | + | |
- | < | + | |
- | + | ||
- | <!-- Much higher performance if you operate on DEBUG. --> | + | |
- | <!-- < | + | |
- | + | ||
- | <!-- Logging level shortcuts. --> | + | |
- | < | + | |
- | <!-- Loglevel von " | + | |
- | < | + | |
- | | + | |
</ | </ | ||
- | Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!): | + | ===== Konfiguration zweier Abfragen ===== |
- | <code bash> | + | |
- | root@idp:/ | + | |
- | </ | + | |
Bei einem Login-Vorgang des Users am IdP macht der IdP im Hintergrund zwei LDAP-Abfragen: | Bei einem Login-Vorgang des Users am IdP macht der IdP im Hintergrund zwei LDAP-Abfragen: | ||
Zeile 30: | Zeile 20: | ||
Diese beiden Schritte werden in ldap.properties unabhängig voneinander konfiguriert: | Diese beiden Schritte werden in ldap.properties unabhängig voneinander konfiguriert: | ||
- | === LDAP-Abfrage 1: User-Authentisierung === | + | ==== LDAP-Abfrage 1: User-Authentisierung |
<file properties / | <file properties / | ||
Zeile 36: | Zeile 26: | ||
# eine Konfiguration wie Sie für OpenLDAP und auch Active Directory funktionieren kann: | # eine Konfiguration wie Sie für OpenLDAP und auch Active Directory funktionieren kann: | ||
idp.authn.LDAP.authenticator | idp.authn.LDAP.authenticator | ||
- | idp.authn.LDAP.ldapURL | + | # ACHTUNG: Hostname des LDAP-Servers muss mit dem CN-Wert (bzw. einem der alternativen |
+ | # Hostnamen) im Zertifikat übereinstimmen! | ||
+ | idp.authn.LDAP.ldapURL | ||
idp.authn.LDAP.useStartTLS | idp.authn.LDAP.useStartTLS | ||
idp.authn.LDAP.useSSL | idp.authn.LDAP.useSSL | ||
Zeile 47: | Zeile 39: | ||
# -CAfile / | # -CAfile / | ||
# | # | ||
- | # ' | + | # Wichtig ist dass der Hostnamen des LDAP/AD-Servers im Zertifikat eingetragen ist, oder anders herum, |
- | idp.authn.LDAP.trustCertificates | + | # dass der LDAP/AD-Server unter dem Zertifikatsnamen erreichbar ist. Sollte dies aus irgend welchen |
+ | # Gründen nicht der Fall sein, kann die Zertifikatsüberprüfung mit folgender Konfiguration doch noch | ||
+ | # erfolgreich gemacht werden: | ||
+ | # | ||
+ | # * zu den JAVA-Start-Optionen von Tomcat hinzufügen: | ||
+ | # * in /etc/hosts den Zertifikatsnamen mit der IP des LDAP/AD-Server verknüpfen: | ||
+ | # | ||
+ | # 192.168.0.13 ldap1.hochschule-XY.intra | ||
+ | # | ||
# ' | # ' | ||
- | #idp.authn.LDAP.trustCertificates | + | idp.authn.LDAP.trustCertificates |
+ | # bei Verwendung einer lokalen CA (default bei MS ActiveDirectory) muss das lokale CA-Zertifikat | ||
+ | # referenziert werden: | ||
+ | # | ||
# | # | ||
# sofern während der Auth-Phase festgestellt werden | # sofern während der Auth-Phase festgestellt werden | ||
Zeile 60: | Zeile 63: | ||
# konfiguriert werden: | # konfiguriert werden: | ||
# | # | ||
- | # ldapsearch -H ldaps:// | + | # ldapsearch -H ldaps:// |
- | # -b " | + | # -b " |
- | # -D cn=idp,dc=uni-beispiel,dc=de \ | + | # -D cn=idp, |
- | # -x -w 'strengGeheimesPasswort' \ | + | # -x -w 'geheim007' \ |
# | # | ||
# | # | ||
- | idp.authn.LDAP.baseDN | + | idp.authn.LDAP.baseDN |
# statt " | # statt " | ||
idp.authn.LDAP.userFilter | idp.authn.LDAP.userFilter | ||
- | idp.authn.LDAP.bindDN | + | idp.authn.LDAP.bindDN |
- | idp.authn.LDAP.bindDNCredential | + | idp.authn.LDAP.bindDNCredential |
+ | # sofern die User im LDAP in Sub-Bäumen verteilt sind bitte das hier aktivieren: | ||
+ | # | ||
</ | </ | ||
- | Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!): | + | Starten Sie Tomcat neu, um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!): |
<code bash> | <code bash> | ||
- | root@idp:/ | + | root@idp-dev:/ |
</ | </ | ||
Siehe auch im Shibboleth Wiki unter [[https:// | Siehe auch im Shibboleth Wiki unter [[https:// | ||
- | === LDAP-Abfrage 2: User-Attribute === | + | ==== LDAP-Abfrage 2: User-Attribute |
<file properties / | <file properties / | ||
Zeile 91: | Zeile 96: | ||
Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!): | Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!): | ||
<code bash> | <code bash> | ||
- | root@idp:/ | + | root@idp-dev:/ |
</ | </ | ||
- | === Bevor Sie weiter machen müssen Sie unbedingt die LDAP-Verbindung testen! | + | ===== Test der LDAP-Verbindung ===== |
+ | **Bevor Sie weiter machen, müssen Sie unbedingt die LDAP-Verbindung testen!** | ||
* tragen Sie Ihren idP in der [[https:// | * tragen Sie Ihren idP in der [[https:// | ||
- | * warten Sie eine Stunde | + | * warten Sie 90 min, bis der neue Eintrag auf den DFN-Testsystemen angekommen ist |
- | * machen Sie mithilfe unserer Test-SPs einen ersten Login-Versuch, | + | * machen Sie mithilfe unserer Test-SPs einen ersten Login-Versuch, |
Es werden Ihnen jetzt noch keine Attribute angezeigt, was aber nicht weiter tragisch ist. | Es werden Ihnen jetzt noch keine Attribute angezeigt, was aber nicht weiter tragisch ist. | ||
+ | |||
+ | Beim Fehler '' | ||
+ | |||
+ | Beim LDAP-Fehler '' | ||
Sollten Sie nicht erfolgreich zum SP zurückgeleitet werden, achten Sie darauf, von welchem | Sollten Sie nicht erfolgreich zum SP zurückgeleitet werden, achten Sie darauf, von welchem | ||
- | System die Fehlermeldung im Browser generiert wird. Entsteht die Fehlermeldung am IdP, | + | System die Fehlermeldung im Browser generiert wird. Entsteht die Fehlermeldung am IdP oder generiert unser Test-SP |
- | schauen Sie bitte in idp-process.log nach, was die Ursache ist. Generiert unser Test-SP | + | die Fehlermeldung, schauen Sie bitte in '' |
- | die Fehlermeldung, | + | |
Sollten Sie damit nicht weiterkommen, | Sollten Sie damit nicht weiterkommen, | ||
und den genauen Zeitpunkt, zu dem der Fehler aufgetreten ist, damit wir mithilfe unseres | und den genauen Zeitpunkt, zu dem der Fehler aufgetreten ist, damit wir mithilfe unseres | ||
SP-Logs die Ursache bestimmen können. | SP-Logs die Ursache bestimmen können. | ||
- | === Erst wenn der Login funktioniert sollten Sie die [[de: | + | Erst wenn der Login funktioniert sollten Sie die [[de: |
+ | |||
+ | {{tag> | ||