Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:shibidp3config-idm [2019/01/11 13:29] Wolfgang Pempede:shibidp3config-idm [2019/08/27 11:47] Silke Meyer
Zeile 1: Zeile 1:
-======Anbindung IdM (LDAP/AD)====== +~~NOTOC~~ 
 +====== Anbindung IdM (LDAP/AD) ====== 
 +{{INLINETOC 2}}
 Bei einem Login-Vorgang des Users am IdP macht der IdP im Hintergrund zwei LDAP-Abfragen: Bei einem Login-Vorgang des Users am IdP macht der IdP im Hintergrund zwei LDAP-Abfragen:
  
Zeile 8: Zeile 9:
 Diese beiden Schritte werden in ldap.properties unabhängig voneinander konfiguriert: Diese beiden Schritte werden in ldap.properties unabhängig voneinander konfiguriert:
  
-=== LDAP-Abfrage 1: User-Authentisierung ===+===== LDAP-Abfrage 1: User-Authentisierung =====
  
 <file properties /opt/shibboleth-idp/conf/ldap.properties> <file properties /opt/shibboleth-idp/conf/ldap.properties>
Zeile 37: Zeile 38:
 #     192.168.0.13 ldap1.hochschule-XY.intra #     192.168.0.13 ldap1.hochschule-XY.intra
 # #
-# 'alte' DFN-PKI-Hierarchie: 
-idp.authn.LDAP.trustCertificates                = /etc/ssl/certs/Deutsche_Telekom_Root_CA_2.pem 
 # 'neue' DFN-PKI-Hierarchie: # 'neue' DFN-PKI-Hierarchie:
-#idp.authn.LDAP.trustCertificates                = /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem+idp.authn.LDAP.trustCertificates                = /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem
 # bei Verwendung einer lokalen CA (default bei MS ActiveDirectory) muss das lokale CA-Zertifikat # bei Verwendung einer lokalen CA (default bei MS ActiveDirectory) muss das lokale CA-Zertifikat
 # referenziert werden: # referenziert werden:
Zeile 71: Zeile 70:
 Starten Sie Tomcat neu, um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!): Starten Sie Tomcat neu, um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):
 <code bash> <code bash>
-root@idp-dev:/opt/shibboleth-idp# systemctl restart tomcat8+root@idp-dev:/opt/shibboleth-idp# systemctl restart tomcat9
 </code> </code>
  
 Siehe auch im Shibboleth Wiki unter [[https://wiki.shibboleth.net/confluence/display/IDP30/LDAPAuthnConfiguration|LDAPAuthnConfiguration]]. Siehe auch im Shibboleth Wiki unter [[https://wiki.shibboleth.net/confluence/display/IDP30/LDAPAuthnConfiguration|LDAPAuthnConfiguration]].
  
-=== LDAP-Abfrage 2: User-Attribute ===+===== LDAP-Abfrage 2: User-Attribute =====
  
 <file properties /opt/shibboleth-idp/conf/ldap.properties> <file properties /opt/shibboleth-idp/conf/ldap.properties>
Zeile 86: Zeile 85:
 Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!): Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):
 <code bash> <code bash>
-root@idp-dev:/opt/shibboleth-idp# systemctl restart tomcat8+root@idp-dev:/opt/shibboleth-idp# systemctl restart tomcat9
 </code> </code>
  
-=== Bevor Sie weiter machen, müssen Sie unbedingt die LDAP-Verbindung testen! ===+===== Bevor Sie weiter machen, müssen Sie unbedingt die LDAP-Verbindung testen! =====
  
   * tragen Sie Ihren idP in der [[https://www.aai.dfn.de/verwaltung/|Metadatenverwaltung]] ein   * tragen Sie Ihren idP in der [[https://www.aai.dfn.de/verwaltung/|Metadatenverwaltung]] ein
Zeile 96: Zeile 95:
  
 Es werden Ihnen jetzt noch keine Attribute angezeigt, was aber nicht weiter tragisch ist. Es werden Ihnen jetzt noch keine Attribute angezeigt, was aber nicht weiter tragisch ist.
 +
 +Beim Fehler ''opensaml::SecurityPolicyException'' sehen Sie bitte auf der [[de:shibidp3troubleshoot#opensamlsecuritypolicyexception|Troubleshooting]]-Seite nach.
  
 Sollten Sie nicht erfolgreich zum SP zurückgeleitet werden, achten Sie darauf, von welchem Sollten Sie nicht erfolgreich zum SP zurückgeleitet werden, achten Sie darauf, von welchem