Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
Letzte Überarbeitung Beide Seiten der Revision
de:shibidp3ecp [2017/08/01 07:36]
Raoul Gunnar Borenius [Probleme mit Sync&Share seit Version 3.3.x]
de:shibidp3ecp [2019/10/08 11:46]
Silke Meyer [Probleme mit bwLehrppol seit Version 3.3.x]
Zeile 1: Zeile 1:
-====== Enhanced Client ​and Proxy (ECP) ======+====== Enhanced Client ​or Proxy (ECP) ====== 
 + 
 +Die grundlegenden Konzepte sind im [[https://​wiki.shibboleth.net/​confluence/​display/​CONCEPT/​ECP|Shibboleth Wiki dokumentiert]].
  
 ECP ist im IdP 3.x out-of-the box aktiv. ECP ist im IdP 3.x out-of-the box aktiv.
Zeile 18: Zeile 20:
 ===== ECP für BWSync&​Share ===== ===== ECP für BWSync&​Share =====
  
-Die Im Moment gängigen BW-Sync&​Share-Clients kommen ​ mit der default-ECP-Variante wie sie der Shibboleth IdP +Die Im Moment gängigen BW-Sync&​Share-Clients kommen mit der default-ECP-Variante wie sie der Shibboleth IdP 
-mitbringt leider nicht zurecht. Der ECP-Endpunkt muss für diese Clients noch explizit mit Basic-Auth geschützt +mitbringt leider nicht zurecht ​(Ausnahme: der Powerfolder Iphone-Client scheint zu funktionieren). 
-werden. Dies kann mithilfe von Apache oder Tomcat gemacht werden, wobei die Apache-Variante aus unserer Sicht+Der ECP-Endpunkt muss für diese Clients noch explizit mit Basic-Auth geschützt werden. 
 +Dies kann mithilfe von Apache oder Tomcat gemacht werden, wobei die Apache-Variante aus unserer Sicht
 deutlich simpler ist (die Tomcat-Variante finden Sie rechts im Index falls Sie Tomcat ohne Apache betreiben): deutlich simpler ist (die Tomcat-Variante finden Sie rechts im Index falls Sie Tomcat ohne Apache betreiben):
  
Zeile 28: Zeile 31:
  
 <file html /​etc/​apache2/​sites-available/​idp.hochschule-XY.de.conf>​ <file html /​etc/​apache2/​sites-available/​idp.hochschule-XY.de.conf>​
 +#
 +# Definition des LDAP-Server-Root-CA-Zertifikates
 +#
 +# ACHTUNG:
 +#
 +# - kann nicht innerhalb des VirtualHost stehen
 +# - hier im Beispiel von der DFN-PKI Generation 2, muss zur ROOT-CA des LDAP-Server-
 +#   ​Zertifikates passen!
 +# - stellen Sie sicher dass in /​etc/​ldap/​ldap.conf kein anderes ROOT-CA-Zertifikat
 +#   ​eingetragen ist welches diesen Eintrag überschreiben würde!
 +#
 LDAPTrustedGlobalCert CA_BASE64 /​etc/​ssl/​certs/​T-TeleSec_GlobalRoot_Class_2.pem LDAPTrustedGlobalCert CA_BASE64 /​etc/​ssl/​certs/​T-TeleSec_GlobalRoot_Class_2.pem
 +
 <​VirtualHost *:443> <​VirtualHost *:443>
   ServerName ​             idp.hochschule-XY.de:​443   ServerName ​             idp.hochschule-XY.de:​443
Zeile 63: Zeile 78:
 neuesten Client im Einsatz haben damit der Zugriff funktioniert. neuesten Client im Einsatz haben damit der Zugriff funktioniert.
  
-==== Probleme mit bwLehrppol ​seit Version 3.3.x ====+==== Probleme mit bwLehrpool ​seit Version 3.3.x ====
  
 Auch der bwLehrpool-Client hatte Probleme mit der Kommuniktaion zum IdP 3.3.1 weil ein falschen Content-Type verwendet wurde (http://​shibboleth.1660669.n2.nabble.com/​ECP-issue-with-current-opensaml-soap-impl-td7629351.html) Auch der bwLehrpool-Client hatte Probleme mit der Kommuniktaion zum IdP 3.3.1 weil ein falschen Content-Type verwendet wurde (http://​shibboleth.1660669.n2.nabble.com/​ECP-issue-with-current-opensaml-soap-impl-td7629351.html)
  • Zuletzt geändert: vor 8 Wochen