Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:shibidp3config-log [2017/07/18 11:33]
Raoul Gunnar Borenius
de:shibidp3config-log [2019/12/20 14:24] (aktuell)
Schreiterer, Frank IP logging loadBalancer
Zeile 3: Zeile 3:
 Das Default-Logging sollte in folgenden Punkte angepasst werden: Das Default-Logging sollte in folgenden Punkte angepasst werden:
  
-  * Loghistory aus Datenschutzgründen nur 14 Tage aufbewahren+  * Loghistory aus Datenschutzgründen ​z.B. nur Tage aufbewahren ​(die Länge dieses Zeitraums ggf. nach Rücksprache mit dem/der Datenschutzbeauftragten den lokalen Regularien anpassen!)
   * LDAP-Client-Log von WARN auf INFO damit mehr LDAP-Meldungen kommen   * LDAP-Client-Log von WARN auf INFO damit mehr LDAP-Meldungen kommen
-  * Client-IP-Adresse im Log mit protokollieren zur Vorbereitung der Brute-Force-Abwehr+  * Client-IP-Adresse im Log mit protokollieren zur Vorbereitung der [[de:​shibidp3fail2ban|Brute-Force-Abwehr]] 
 +  * Wenn der Tomcat hinter einem Loadbalancer betrieben wird, dann erscheint im Log in der Variable idp.remote_addr die IP des Loadbalancers. Um die Client-IP korrekt anzuzeigen wird im Tomcat in der server.xml folgendes ergänzt: 
 + 
 +<file xml server.xml hinter Loadbalancer>​ 
 +   ... 
 +   <​Host name="​localhost" ​ appBase="​webapps"​ unpackWARs="​true"​ autoDeploy="​true">​ 
 +        ... 
 +        <!-- forwarded remote ip --> 
 + <​!--https://​tomcat.apache.org/​tomcat-8.5-doc/​api/​org/​apache/​catalina/​valves/​RemoteIpValve.html --> 
 + <Valve className="​org.apache.catalina.valves.RemoteIpValve"​ internalProxies="​10\.0\.0\.1|10\.0\.0\.2"​ remoteIpHeader="​x-forwarded-for"​ /> 
 +        ... 
 +   </​Host>​ 
 +   ... 
 +</​file>​
  
 <file xml ./​conf/​logback.xml>​ <file xml ./​conf/​logback.xml>​
     ...     ...
-    <!-- aus Datenschutzgründen nur 14 Tage aufbewahren --> +    <!-- aus Datenschutzgründen nur Tage aufbewahren --> 
-    <​variable name="​idp.loghistory"​ value="​14" />+    <​variable name="​idp.loghistory"​ value="​7" />
  
     <!-- Much higher performance if you operate on DEBUG. -->     <!-- Much higher performance if you operate on DEBUG. -->
Zeile 40: Zeile 53:
 Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):​ Starten Sie Tomcat neu um die neuen Einstellungen zu aktivieren (dabei Logdateien mitverfolgen!):​
 <code bash> <code bash>
-root@idp-dev:/​opt/​shibboleth-idp#​ systemctl restart ​tomcat8+root@idp-dev:/​opt/​shibboleth-idp#​ systemctl restart ​tomcat[8|9]
 </​code>​ </​code>​
  
 Weiter geht es mit der [[de:​shibidp3config-idm|Anbindung IdM]]. Weiter geht es mit der [[de:​shibidp3config-idm|Anbindung IdM]].
  • Zuletzt geändert: vor 3 Jahren