Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:shibidp3config-idm [2017/02/24 15:08] – Raoul Gunnar Borenius
+++ de:shibidp3config-idm [2021/05/03 13:16] (aktuell) – gelöscht Silke Meyer
@@ Zeile 1: / Zeile 1: @@
-====Anbindung IdM (LDAP/AD)====
-Die IdM-Anbindung ist erfahrungsgemäss der kniffligste Teil der IdP-Konfiguration. Es empfiehlt sich daher den Default-Loglevel der LDAP-Kategorie zu erhöhen:
-<file xml /opt/shibboleth-idp/conf/logback.xml>
-    ...
-    <!-- aus Datenschutzgründen nur 14 Tage aufbewahren -->
-    <variable name="idp.loghistory" value="14" />
-    <!-- Much higher performance if you operate on DEBUG. -->
-    <!-- <variable name="idp.process.appender" value="ASYNC_PROCESS" /> -->
-    <!-- Logging level shortcuts. -->
-    <variable name="idp.loglevel.idp" value="INFO" />
-    <!-- Loglevel von "WARN" auf "INFO" ändern -->
-    <variable name="idp.loglevel.ldap" value="INFO" />
-    ...
-</file>
-Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):
-<code bash>
-root@idp:/opt/shibboleth-idp# service tomcat8 restart
-</code>
-Bei einem Login-Vorgang des Users am IdP macht der IdP im Hintergrund zwei LDAP-Abfragen:
-  * Authentisierung des Users
-  * Abruf der Attribute des Users
-Diese beiden Schritte werden in ldap.properties unabhängig voneinander konfiguriert:
-=== LDAP-Abfrage 1: User-Authentisierung ===
-<file properties /opt/shibboleth-idp/conf/ldap.properties>
-# bitte entsprechend den Möglichkeiten Ihres IdM-Systems anpassen, im Beispiel
-# eine Konfiguration wie Sie für OpenLDAP und auch Active Directory funktionieren kann:
-idp.authn.LDAP.authenticator                    = bindSearchAuthenticator
-idp.authn.LDAP.ldapURL                          = ldaps://ldap.uni-beispiel.de:636
-idp.authn.LDAP.useStartTLS                      = false
-idp.authn.LDAP.useSSL                           = true
-idp.authn.LDAP.sslConfig                        = certificateTrust
-#
-# Pfad zum Root-Zertifikat der verwendeten PKI, dieser sollte folgendermassen überprüft werden
-# bevor er im IdP konfiguriert wird (Beispiel für DFN-PKI):
-#
-#  openssl s_client -connect ldap.uni-beispiel.de:ldaps -showcerts \
-#              -CAfile /etc/ssl/certs/Deutsche_Telekom_Root_CA_2.pem
-#
-# 'alte' DFN-PKI-Hierarchie:
-idp.authn.LDAP.trustCertificates                = /etc/ssl/certs/Deutsche_Telekom_Root_CA_2.pem
-# 'neue' DFN-PKI-Hierarchie:
-#idp.authn.LDAP.trustCertificates                = /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem
-#
-# sofern während der Auth-Phase festgestellt werden  soll, ob der Account aktiv ist, müssen
-# hier die entsprechenden Attribute angegeben werden
-# (FIXME: konkretes Beispiel für OpenLDAP und AD heraussuchen)
-idp.authn.LDAP.returnAttributes                 = passwordExpirationTime,loginGraceRemaining
-#
-# LDAP-Verbindungsparameter, diese sollten folgendermassen überprüft werden bevor Sie im IdP
-# konfiguriert werden:
-#
-#  ldapsearch -H ldaps://ldap.uni-beispiel.de \
-#             -b "ou=people,dc=uni-beispiel,dc=de" \
-#             -D cn=idp,dc=uni-beispiel,dc=de \
-#             -x -w 'strengGeheimesPasswort' \
-#             uid=irgendeinExistierenderUser
-#
-idp.authn.LDAP.baseDN                           = ou=people,dc=uni-beispiel,dc=de
-# statt "(uid={user})" nehmen Sie bei AD üblicherweise "(cn={user})" oder "(sAMAccountName={user})"
-idp.authn.LDAP.userFilter                       = (uid={user})
-idp.authn.LDAP.bindDN                           = cn=idp,dc=uni-beispiel,dc=de
-idp.authn.LDAP.bindDNCredential                 = strengGeheimesPasswort
-</file>
-Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):
-<code bash>
-root@idp:/opt/shibboleth-idp# service tomcat8 restart
-</code>
-Siehe auch im Shibboleth Wiki unter [[https://wiki.shibboleth.net/confluence/display/IDP30/LDAPAuthnConfiguration|LDAPAuthnConfiguration]].
-=== LDAP-Abfrage 2: User-Attribute ===
-<file properties /opt/shibboleth-idp/conf/ldap.properties>
-# wie bei Abfrage 1 muss hier das relevante User-Attribut angegeben werden, für
-# MS-AD ist das üblicherweise "(cn=$resolutionContext.principal)" oder "(sAMAccountName=$resolutionContext.principal)"
-idp.attribute.resolver.LDAP.searchFilter        = (uid=$resolutionContext.principal)
-</file>
-Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):
-<code bash>
-root@idp:/opt/shibboleth-idp# service tomcat8 restart
-</code>
-=== Bevor Sie weiter machen müssen Sie unbedingt die LDAP-Verbindung testen! ===
-  * tragen Sie Ihren idP in der [[https://www.aai.dfn.de/verwaltung/|Metadatenverwaltung]] ein
-  * warten Sie eine Stunde bis der neue Eintrag auf den DFN-Testsystemen angekommen ist
-  * machen Sie mithilfe unserer Test-SPs einen ersten Login-Versuch, siehe https://www.aai.dfn.de/teilnahme/funktionstest/.
-Es werden Ihnen jetzt noch keine Attribute angezeigt, was aber nicht weiter tragisch ist.
-Sollten Sie nicht erfolgreich zum SP zurückgeleitet werden, achten Sie darauf, von welchem
-System die Fehlermeldung im Browser generiert wird. Entsteht die Fehlermeldung am IdP,
-schauen Sie bitte in idp-process.log nach, was die Ursache ist. Generiert unser Test-SP
-die Fehlermeldung, schauen Sie bitte im Online-Log https://testsp2.aai.dfn.de/ShibLogViewer2/SPLogViewer.html des SP. Mithilfe dieser Meldung und des Shib-Wiki unter https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPTroubleshootingCommonErrors sollten Sie in den meisten Fällen die Ursache bestimmen können.
-Sollten Sie damit nicht weiterkommen, senden Sie uns bitte einen Screenshot der Fehlermeldung
-und den genauen Zeitpunkt, zu dem der Fehler aufgetreten ist, damit wir mithilfe unseres
-SP-Logs die Ursache bestimmen können.
-Erst wenn der Login funktioniert sollten Sie die [[de:shibidp3config-attribute|Attribute]]-Konfiguration angehen!