Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Letzte ÜberarbeitungBeide Seiten der Revision
de:shibidp3config-idm [2017/03/24 11:41] Raoul Gunnar Boreniusde:shibidp3config-idm [2021/04/26 14:53] – als deprecated markiert Silke Meyer
Zeile 1: Zeile 1:
-======Anbindung IdM (LDAP/AD)======+~~NOTOC~~ 
 +====== Anbindung IdM (LDAP/AD) ====== 
 +<callout color="#ff9900" title="Veraltete IdP-Version!"> 
 +</callout> 
 +{{INLINETOC 2}} 
 + 
 +===== Java-Version ===== 
 +Wenn Sie eine Version einsetzen, die **größer als Java 8** ist, und Ihr IdM über ldaps anbinden, müssen Sie aufgrund [[https://wiki.shibboleth.net/confluence/display/IDP30/LDAPonJava%3E8|eines Bugs]] momentan folgenden Workaround eintragen: 
 +<file properties /opt/shibboleth-idp/conf/ldap.properties> 
 +idp.ldaptive.provider=org.ldaptive.provider.unboundid.UnboundIDProvider 
 +</file> 
 + 
 +===== Konfiguration zweier Abfragen =====
  
 Bei einem Login-Vorgang des Users am IdP macht der IdP im Hintergrund zwei LDAP-Abfragen: Bei einem Login-Vorgang des Users am IdP macht der IdP im Hintergrund zwei LDAP-Abfragen:
Zeile 8: Zeile 20:
 Diese beiden Schritte werden in ldap.properties unabhängig voneinander konfiguriert: Diese beiden Schritte werden in ldap.properties unabhängig voneinander konfiguriert:
  
-=== LDAP-Abfrage 1: User-Authentisierung ===+==== LDAP-Abfrage 1: User-Authentisierung ====
  
 <file properties /opt/shibboleth-idp/conf/ldap.properties> <file properties /opt/shibboleth-idp/conf/ldap.properties>
Zeile 14: Zeile 26:
 # eine Konfiguration wie Sie für OpenLDAP und auch Active Directory funktionieren kann: # eine Konfiguration wie Sie für OpenLDAP und auch Active Directory funktionieren kann:
 idp.authn.LDAP.authenticator                    = bindSearchAuthenticator idp.authn.LDAP.authenticator                    = bindSearchAuthenticator
 +# ACHTUNG: Hostname des LDAP-Servers muss mit dem CN-Wert (bzw. einem der alternativen
 +# Hostnamen) im Zertifikat übereinstimmen!
 idp.authn.LDAP.ldapURL                          = ldaps://ldap.hochschule-XY:636 idp.authn.LDAP.ldapURL                          = ldaps://ldap.hochschule-XY:636
 idp.authn.LDAP.useStartTLS                      = false idp.authn.LDAP.useStartTLS                      = false
Zeile 35: Zeile 49:
 #     192.168.0.13 ldap1.hochschule-XY.intra #     192.168.0.13 ldap1.hochschule-XY.intra
 # #
-# 'alte' DFN-PKI-Hierarchie: 
-idp.authn.LDAP.trustCertificates                = /etc/ssl/certs/Deutsche_Telekom_Root_CA_2.pem 
 # 'neue' DFN-PKI-Hierarchie: # 'neue' DFN-PKI-Hierarchie:
-#idp.authn.LDAP.trustCertificates                = /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem+idp.authn.LDAP.trustCertificates                = /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem 
 +# bei Verwendung einer lokalen CA (default bei MS ActiveDirectory) muss das lokale CA-Zertifikat 
 +# referenziert werden: 
 +#idp.authn.LDAP.trustCertificates                = /etc/ssl/certs/beispiel-hs_local_ca_cert.pem
 # #
 # sofern während der Auth-Phase festgestellt werden  soll, ob der Account aktiv ist, müssen # sofern während der Auth-Phase festgestellt werden  soll, ob der Account aktiv ist, müssen
Zeile 59: Zeile 74:
 idp.authn.LDAP.bindDN                           = cn=idp,cn=systemusers,dc=hochschule-XY,dc=de idp.authn.LDAP.bindDN                           = cn=idp,cn=systemusers,dc=hochschule-XY,dc=de
 idp.authn.LDAP.bindDNCredential                 = geheim007 idp.authn.LDAP.bindDNCredential                 = geheim007
 +# sofern die User im LDAP in Sub-Bäumen verteilt sind bitte das hier aktivieren:
 +#idp.authn.LDAP.subtreeSearch                    = true
  
 </file> </file>
  
-Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):+Starten Sie Tomcat neuum die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):
 <code bash> <code bash>
-root@idp-dev:/opt/shibboleth-idp# systemctl restart tomcat8+root@idp-dev:/opt/shibboleth-idp# systemctl restart tomcat9
 </code> </code>
  
 Siehe auch im Shibboleth Wiki unter [[https://wiki.shibboleth.net/confluence/display/IDP30/LDAPAuthnConfiguration|LDAPAuthnConfiguration]]. Siehe auch im Shibboleth Wiki unter [[https://wiki.shibboleth.net/confluence/display/IDP30/LDAPAuthnConfiguration|LDAPAuthnConfiguration]].
  
-=== LDAP-Abfrage 2: User-Attribute ===+==== LDAP-Abfrage 2: User-Attribute ====
  
 <file properties /opt/shibboleth-idp/conf/ldap.properties> <file properties /opt/shibboleth-idp/conf/ldap.properties>
Zeile 79: Zeile 96:
 Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!): Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):
 <code bash> <code bash>
-root@idp-dev:/opt/shibboleth-idp# systemctl restart tomcat8+root@idp-dev:/opt/shibboleth-idp# systemctl restart tomcat9
 </code> </code>
  
-=== Bevor Sie weiter machen müssen Sie unbedingt die LDAP-Verbindung testen! === +===== Test der LDAP-Verbindung ===== 
 +**Bevor Sie weiter machenmüssen Sie unbedingt die LDAP-Verbindung testen!**
   * tragen Sie Ihren idP in der [[https://www.aai.dfn.de/verwaltung/|Metadatenverwaltung]] ein   * tragen Sie Ihren idP in der [[https://www.aai.dfn.de/verwaltung/|Metadatenverwaltung]] ein
-  * warten Sie 90 min bis der neue Eintrag auf den DFN-Testsystemen angekommen ist +  * warten Sie 90 minbis der neue Eintrag auf den DFN-Testsystemen angekommen ist 
-  * machen Sie mithilfe unserer Test-SPs einen ersten Login-Versuch, siehe https://www.aai.dfn.de/teilnahme/funktionstest/.+  * machen Sie mithilfe unserer Test-SPs einen ersten Login-Versuch, siehe unter [[https://wiki.aai.dfn.de/de:functionaltest|Funktionstests]].
  
 Es werden Ihnen jetzt noch keine Attribute angezeigt, was aber nicht weiter tragisch ist. Es werden Ihnen jetzt noch keine Attribute angezeigt, was aber nicht weiter tragisch ist.
 +
 +Beim Fehler ''opensaml::SecurityPolicyException'' sehen Sie bitte auf der [[de:shibidp:troubleshooting#opensamlsecuritypolicyexception|Troubleshooting]]-Seite nach.
 +
 +Beim LDAP-Fehler ''Invalid Credentials'' stellen Sie bitte sicher, dass Sie **bei den Zugangsdaten keine Leerzeichen an den Zeilenenden** stehen haben. Das Passwort steht //nicht// in Hochkommata oder Anführungszeichen.
  
 Sollten Sie nicht erfolgreich zum SP zurückgeleitet werden, achten Sie darauf, von welchem Sollten Sie nicht erfolgreich zum SP zurückgeleitet werden, achten Sie darauf, von welchem
-System die Fehlermeldung im Browser generiert wird. Entsteht die Fehlermeldung am IdP, +System die Fehlermeldung im Browser generiert wird. Entsteht die Fehlermeldung am IdP oder generiert unser Test-SP 
-schauen Sie bitte in idp-process.log nach, was die Ursache ist. Generiert unser Test-SP +die Fehlermeldung, schauen Sie bitte in ''idp-process.log'' nach, was die Ursache ist. Mithilfe dieser Meldungungen und des Shib-Wiki unter https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPTroubleshootingCommonErrors sollten Sie in den meisten Fällen die Ursache bestimmen können.
-die Fehlermeldung, schauen Sie bitte im Online-Log https://testsp2.aai.dfn.de/ShibLogViewer2/SPLogViewer.html des SP. Mithilfe dieser Meldung und des Shib-Wiki unter https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPTroubleshootingCommonErrors sollten Sie in den meisten Fällen die Ursache bestimmen können.+
 Sollten Sie damit nicht weiterkommen, senden Sie uns bitte einen Screenshot der Fehlermeldung Sollten Sie damit nicht weiterkommen, senden Sie uns bitte einen Screenshot der Fehlermeldung
 und den genauen Zeitpunkt, zu dem der Fehler aufgetreten ist, damit wir mithilfe unseres und den genauen Zeitpunkt, zu dem der Fehler aufgetreten ist, damit wir mithilfe unseres
Zeile 99: Zeile 119:
  
 Erst wenn der Login funktioniert sollten Sie die [[de:shibidp3config-attribute|Attribute]]-Konfiguration angehen! Erst wenn der Login funktioniert sollten Sie die [[de:shibidp3config-attribute|Attribute]]-Konfiguration angehen!
 +
 +{{tag>idp3 deprecated}}