Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
Letzte Überarbeitung Beide Seiten der Revision
de:shibidp3monitoring [2016/09/27 13:58]
Martin Lunze
de:shibidp3monitoring [2016/09/27 14:37]
Wolfgang Pempe
Zeile 83: Zeile 83:
         -s, --short ​ short login attempt, which stops after entering credentials at idp-side (stops on attribute-release-page)         -s, --short ​ short login attempt, which stops after entering credentials at idp-side (stops on attribute-release-page)
         -f, --full ​  full login attempt, which stops after visiting session-page at sp-side         -f, --full ​  full login attempt, which stops after visiting session-page at sp-side
 +</​code>​
 +
 +===== Gültigkeitsdauer der Zertifikate lokaler Metadaten prüfen =====
 +
 +Bindet man (außerhalb der DFN-AAI Metadatenverwaltung) lokale Metadaten ein, so empfiehlt es sich die Gültigkeitsdauer der darin verwendeten Zertifikate im Auge zu behalten.\\
 +Denn ist dieses einmal abgelaufen stellt der Shibboleth IdP die Verbindung zu diesen SPs ein.
 +
 +Kommt noch erschwerend hinzu, dass es sich dabei eventuell nicht um PKI-Zertifikate handelt oder aus anderen Gründen vom Zertifikatsaussteller keine Benachrichtigungen verschickt werden oder diese an die falschen Adressen zugestellt werden, so empfiehlt sich hier eine automatische Überwachung.
 +
 +Die folgenden 3 PHP-Skripte müssen dazu auf dem IdP hinterlegt und z.B. via NRPE vom Monitoring-Dienst ausgeführt werden.
 +
 +{{ :​de:​functions.txt?​linkonly |}} (Nach dem Download einfach die Dateiendung auf '​.php'​ ändern.)
 +{{ :​de:​metadataProviderManager.txt?​linkonly |}} (Nach dem Download einfach die Dateiendung auf '​.php'​ ändern.)
 +{{ :​de:​metadataCertificateValidator.txt?​linkonly |}} (Nach dem Download einfach die Dateiendung auf '​.php'​ ändern.)
 +
 +Dieses Skript wird genutzt um die Gültigkeit der Zertifikate zu prüfen, welche in den Metadaten der Shibboleth Service Provider hinterlegt sind.\\
 +Es wurde speziell auf die Version 3.2.1 des Shibboleth Identity Providers zurecht geschnitten.
 +
 +Zunächst wird versucht die Datei /​opt/​shibboleth-idp/​conf/​metadata-providers.xml zu parsen.\\
 +Hierbei wird nach allen <​MetadataProvider>​-Blöcken gesucht.\\
 +Berücksichtigt werden dabei jedoch nur Einträge mit dem Attribut type="​FilesystemMetadataProvider"​.
 +
 +Von den gefundenen Einträgen wird der Pfad zur Metadaten-Datei auf der Festplatte ausgelesen (metadataFile="​..."​).\\
 +Im Anschluss werden die genannten Dateien der Reihe nach untersucht.\\
 +
 +Es werden hierbei die <​ds:​X509Certificate>​-Blöcke betrachtet und geprüft, ob das Zertifikat noch gültig ist.\\
 +Unterschreitet dessen Gültigkeitsdauer einen bestimmten Zeitrahmen (z.B 30 Tage) so wird die zugehörige entityID des SPs bemängelt.
 +
 +Nachdem alle Dateien durchlaufen wurden, so wird zum Schluss eine Zusammenfassung im Nagios-Format ausgegeben.\\
 +Mit Hilfe dieser Ausgabe kann im Centreon ein Check eingerichtet werden, wodurch vor ablaufenden SPs gewarnt wird.
 +
 +Die Ausgabe enthält die entityIDs der betroffenen SPs und kann wie folgt aussehen:\\
 +
 +<​code>​
 +OK - OK (30/30)
 +WARNING - OK (25/30), WARN (5/30)
 +CRITICAL - OK (20/30), WARN (8/30), CRIT (2/30)
 + WARN - The certificates of the following SPs are running End-Of-Live:​
 + https://​bs.zih.tu-dresden.de/​shibboleth
 + ...
 + http://​campussachsen.tu-dresden.de/​shibboleth
 + CRIT - This are the SPs whome certificates are expired
 + https://​selfservice.zih.tu-dresden.de
 + ...
 +</​code>​
 +
 +Der Aufruf des Skriptes kann wie folgt geschehen:
 +
 +<​code>​
 +This script reads metadata of shibboleth service providers and checks the lifetime of their certificates.
 +
 +Usage:
 +PHP metadataCertificateValidator.php
 +PHP metadataCertificateValidator.php [-h | --help]
 +PHP metadataCertificateValidator.php [-v | --verbose]
 +PHP metadataCertificateValidator.php [-p <​file>​ | --provider <​file>​]
 +PHP metadataCertificateValidator.php [-m <​directory>​ | --metadata <​directory>​]
 +PHP metadataCertificateValidator.php [-w <​days>​ | --warning <​days>​]
 +PHP metadataCertificateValidator.php [-c <​days>​ | --critical <​days>​]
 +
 +-h, --help
 + shows this help
 +-v, --verbose
 + turn on verbose-mode
 +-p, --provider <​file>​
 + path to config-file:​ metadata-providers.xml
 +-m, --metadata <​directory>​
 + directory of metadata-files
 +-w, --warning <​days>​
 + days until expiration of certificate (default: 30)
 +-c, --critical <​days>​
 + days until expiration of certificate (default: 7)
 </​code>​ </​code>​
  • Zuletzt geändert: vor 7 Wochen