| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
| de:shibidp3install [2018/11/28 15:11] – [IdP herunterladen] Silke Meyer | de:shibidp3install [2019/08/14 11:05] – Silke Meyer |
|---|
| ======Installation Shibboleth IdP 3.x====== | ======Installation Shibboleth IdP 3.4====== |
| |
| ===== IdP herunterladen ===== | ===== IdP herunterladen ===== |
| root@idp-dev:~# mkdir /opt/install | root@idp-dev:~# mkdir /opt/install |
| root@idp-dev:~# cd /opt/install | root@idp-dev:~# cd /opt/install |
| root@idp-dev:/opt/install# wget https://shibboleth.net/downloads/identity-provider/latest/shibboleth-identity-provider-3.4.1.tar.gz | root@idp-dev:/opt/install# wget https://shibboleth.net/downloads/identity-provider/latest/shibboleth-identity-provider-3.4.4.tar.gz |
| root@idp-dev:/opt/install# wget https://shibboleth.net/downloads/identity-provider/latest/shibboleth-identity-provider-3.4.1.tar.gz.asc | root@idp-dev:/opt/install# wget https://shibboleth.net/downloads/identity-provider/latest/shibboleth-identity-provider-3.4.4.tar.gz.asc |
| root@idp-dev:/opt/install# wget https://shibboleth.net/downloads/PGP_KEYS | root@idp-dev:/opt/install# wget https://shibboleth.net/downloads/PGP_KEYS |
| root@idp-dev:/opt/install# gpg --import PGP_KEYS | root@idp-dev:/opt/install# gpg --import PGP_KEYS |
| root@idp-dev:/opt/install# gpg --verify shibboleth-identity-provider-3.4.1.tar.gz.asc shibboleth-identity-provider-3.4.1.tar.gz | root@idp-dev:/opt/install# gpg --verify shibboleth-identity-provider-3.4.4.tar.gz.asc shibboleth-identity-provider-3.4.4.tar.gz |
| root@idp-dev:/opt/install# tar -xzf shibboleth-identity-provider-3.4.1.tar.gz | root@idp-dev:/opt/install# tar -xzf shibboleth-identity-provider-3.4.4.tar.gz |
| </code> | </code> |
| |
| |
| <code bash> | <code bash> |
| root@idp-dev:~# cd /opt/install/shibboleth-identity-provider-3.3.2 | root@idp-dev:~# cd /opt/install/shibboleth-identity-provider-3.4.4 |
| </code> | </code> |
| Das Installationsskript findet sich unter bin/install.sh. Beim Ausführen werden die wichtigsten Angaben zum IdP abgefragt, wie der FQDN und das Zielverzeichnis, in das der IdP installiert werden soll. Der Default hierfür ist /opt/shibboleth-idp. Falls abweichend, muss der Pfad z.B. als idp.home Parameter beim Tomcat-Start angegeben werden, Details siehe [[https://wiki.shibboleth.net/confluence/display/IDP30/ApacheTomcat8#ApacheTomcat8-RequiredConfigurationChanges|Dokumentation im Shibboleth Wiki]]. | Das Installationsskript findet sich unter bin/install.sh. Beim Ausführen werden die wichtigsten Angaben zum IdP abgefragt, wie der FQDN und das Zielverzeichnis, in das der IdP installiert werden soll. Der Default hierfür ist /opt/shibboleth-idp. Falls abweichend, muss der Pfad z.B. als idp.home Parameter beim Tomcat-Start angegeben werden, Details siehe [[https://wiki.shibboleth.net/confluence/display/IDP30/ApacheTomcat8#ApacheTomcat8-RequiredConfigurationChanges|Dokumentation im Shibboleth Wiki]]. |
| |
| <code bash> | <code bash> |
| root@idp-dev:/opt/install/shibboleth-identity-provider-3.3.2# JAVA_HOME=/usr bin/install.sh | root@idp-dev:/opt/install/shibboleth-identity-provider-3.4.4# JAVA_HOME=/usr bin/install.sh |
| Source (Distribution) Directory (press <enter> to accept default: [/opt/install/shibboleth-identity-provider-3.3.2] | Source (Distribution) Directory (press <enter> to accept default: [/opt/install/shibboleth-identity-provider-3.4.4] |
| |
| Installation Directory: [/opt/shibboleth-idp] | Installation Directory: [/opt/shibboleth-idp] |
| </code> | </code> |
| |
| Die beiden abgefragten Passwörter werden in die IdP-Config geschrieben, müssen also nicht notiert oder gemerkt werden. Wählen Sie daher möglichst starke Passwörter (12 Zeichen aus Ziffern, Gross- und Klein-Buchstaben). Der IdP wird dann im angegebenen Zielverzeichnis installiert. | Die beiden abgefragten Passwörter werden in die IdP-Config geschrieben, müssen also nicht notiert oder gemerkt werden. Wählen Sie daher möglichst starke Passwörter (12 Zeichen aus Ziffern, Groß- und Klein-Buchstaben). Der IdP wird dann im angegebenen Zielverzeichnis installiert. |
| |
| Nachdem die IdP-Files installiert sind, versucht der Tomcat das Servlet automatisch zu starten (siehe Tomcat-Log). Das scheitert überlicherweise aber erstmal da einige Dateien für den Tomcat-User nicht lesbar abgelegt wurden. Korrigieren Sie dies mit: | Nachdem die IdP-Files installiert sind, versucht der Tomcat das Servlet automatisch zu starten (siehe Tomcat-Log). Das scheitert üblicherweise aber erstmal da einige Dateien für den Tomcat-User nicht lesbar abgelegt wurden. Korrigieren Sie dies mit: |
| |
| <code bash> | <code bash> |
| root@idp-dev:/opt/install/shibboleth-identity-provider-3.3.2# cd /opt/shibboleth-idp | root@idp-dev:/opt/install/shibboleth-identity-provider-3.4.4# cd /opt/shibboleth-idp |
| root@idp-dev:/opt/shibboleth-idp# chgrp -R tomcat8 conf credentials | root@idp-dev:/opt/shibboleth-idp# chgrp -R $( getent group | grep ^tomcat | cut -d ":" -f1 ) conf credentials |
| root@idp-dev:/opt/shibboleth-idp# chmod -R g+r conf credentials | root@idp-dev:/opt/shibboleth-idp# chmod -R g+r conf credentials |
| </code> | </code> |
| |
| Ausserdem müssen Log-Verzeichnis und Metadata-Verzeichnis für den Tomcat-User schreibbar gemacht werden: | Außerdem müssen Log-Verzeichnis und Metadata-Verzeichnis für den Tomcat-User schreibbar gemacht werden: |
| |
| <code bash> | <code bash> |
| root@idp-dev:/opt/shibboleth-idp# chown tomcat8:tomcat8 logs metadata | root@idp-dev:/opt/shibboleth-idp# chown $( getent passwd | grep ^tomcat | cut -d ":" -f1 ):$( getent group | grep ^tomcat | cut -d ":" -f1 ) logs metadata |
| </code> | </code> |
| ====IdP Status URL==== | ====IdP Status URL==== |
| Zur Darstellung der Status-Seite muss | Zur Darstellung der Status-Seite muss |
| |
| * die Java Server Tag Library (JSTL) im Tomcat bereit stehen (siehe [[de:shibidp3prepare-tomcat#java_server_tag_library_jstl|Vorarbeiten]]). | * die Java Standard Tag Library (JSTL) im Tomcat bereit stehen (siehe [[de:shibidp3prepare-tomcat#java_server_tag_library_jstl|Vorarbeiten]]). |
| * die IdP Status URL für Ihr eigenes Netz und das Monitoring-Netz des DFN freigegeben werden: | * die IdP Status URL für Ihr eigenes Netz und das Monitoring-Netz des DFN freigegeben werden. Damit das DFN-AAI-Monitoring nur auf die Status-Seite zugreifen kann, erstellen Sie eine separates ''<entry>'' Element mit der id ''StatusAccessByIPAddress'': |
| |
| <file xml /opt/shibboleth-idp/conf/access-control.xml> | <file xml /opt/shibboleth-idp/conf/access-control.xml> |
| <util:map id="shibboleth.AccessControlPolicies"> | <util:map id="shibboleth.AccessControlPolicies"> |
| <entry key="AccessByIPAddress"> | <entry key="AccessByIPAddress"> |
| | <bean parent="shibboleth.IPRangeAccessControl" |
| | p:allowedRanges="#{ {'127.0.0.1/32', '::1/128', 'IHR-NETZ/IHRE-NM'} }" /> |
| | </entry> |
| | <entry key="StatusAccessByIPAddress"> |
| <bean parent="shibboleth.IPRangeAccessControl" | <bean parent="shibboleth.IPRangeAccessControl" |
| p:allowedRanges="#{ {'127.0.0.1/32', '::1/128', 'IHR-NETZ/IHRE-NM', '193.174.247.0/24', '2001:638:206:1::/64'} }" /> | p:allowedRanges="#{ {'127.0.0.1/32', '::1/128', 'IHR-NETZ/IHRE-NM', '193.174.247.0/24', '2001:638:206:1::/64'} }" /> |
| <!-- ... --> | <!-- ... --> |
| </beans> | </beans> |
| | </file> |
| | |
| | Dieser Eintrag muss dann noch in ''idp.properties'' der Status-Seite zugewiesen werden: |
| | |
| | <file properties ./conf/idp.properties> |
| | idp.status.accessPolicy=StatusAccessByIPAddress |
| </file> | </file> |
| |
| Jetzt kann Tomcat neu gestartet werden: | Jetzt kann Tomcat neu gestartet werden: |
| <code bash> | <code bash> |
| root@idp-dev:/opt/shibboleth-idp# systemctl restart tomcat8 | root@idp-dev:/opt/shibboleth-idp# systemctl restart tomcat[8|9] |
| </code> | </code> |
| Dabei lassen Sie am besten in drei Terminalfenstern den Tomcat- und die beiden relevanten IdP-Logs mitlaufen: | Dabei lassen Sie am besten in drei Terminalfenstern den Tomcat- und die beiden relevanten IdP-Logs mitlaufen: |
| |
| <code bash> | <code bash> |
| root@idp-dev:/opt/shibboleth-idp# tail -f /var/log/tomcat8/catalina.out | root@idp-dev:/opt/shibboleth-idp# tail -f /var/log/tomcat[8|9]/catalina.out |
| </code> | </code> |
| |
| </code> | </code> |
| |
| Finden sich dort keine Fehler ist der IdP erfolgreich gestartet. Überprüfen Sie als erstes ob | Finden sich dort keine Fehler, ist der IdP erfolgreich gestartet. Überprüfen Sie als erstes ob |
| sie die Status-Seite sehen können: | sie die Status-Seite sehen können: |
| |