Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:shibidp3monitoring [2016/09/27 13:58]
Martin Lunze
de:shibidp3monitoring [2016/09/27 14:37] (aktuell)
Wolfgang Pempe
Zeile 83: Zeile 83:
         -s, --short ​ short login attempt, which stops after entering credentials at idp-side (stops on attribute-release-page)         -s, --short ​ short login attempt, which stops after entering credentials at idp-side (stops on attribute-release-page)
         -f, --full ​  full login attempt, which stops after visiting session-page at sp-side         -f, --full ​  full login attempt, which stops after visiting session-page at sp-side
 +</​code>​
 +
 +===== Gültigkeitsdauer der Zertifikate lokaler Metadaten prüfen =====
 +
 +Bindet man (außerhalb der DFN-AAI Metadatenverwaltung) lokale Metadaten ein, so empfiehlt es sich die Gültigkeitsdauer der darin verwendeten Zertifikate im Auge zu behalten.\\
 +Denn ist dieses einmal abgelaufen stellt der Shibboleth IdP die Verbindung zu diesen SPs ein.
 +
 +Kommt noch erschwerend hinzu, dass es sich dabei eventuell nicht um PKI-Zertifikate handelt oder aus anderen Gründen vom Zertifikatsaussteller keine Benachrichtigungen verschickt werden oder diese an die falschen Adressen zugestellt werden, so empfiehlt sich hier eine automatische Überwachung.
 +
 +Die folgenden 3 PHP-Skripte müssen dazu auf dem IdP hinterlegt und z.B. via NRPE vom Monitoring-Dienst ausgeführt werden.
 +
 +{{ :​de:​functions.txt?​linkonly |}} (Nach dem Download einfach die Dateiendung auf '​.php'​ ändern.)
 +{{ :​de:​metadataProviderManager.txt?​linkonly |}} (Nach dem Download einfach die Dateiendung auf '​.php'​ ändern.)
 +{{ :​de:​metadataCertificateValidator.txt?​linkonly |}} (Nach dem Download einfach die Dateiendung auf '​.php'​ ändern.)
 +
 +Dieses Skript wird genutzt um die Gültigkeit der Zertifikate zu prüfen, welche in den Metadaten der Shibboleth Service Provider hinterlegt sind.\\
 +Es wurde speziell auf die Version 3.2.1 des Shibboleth Identity Providers zurecht geschnitten.
 +
 +Zunächst wird versucht die Datei /​opt/​shibboleth-idp/​conf/​metadata-providers.xml zu parsen.\\
 +Hierbei wird nach allen <​MetadataProvider>​-Blöcken gesucht.\\
 +Berücksichtigt werden dabei jedoch nur Einträge mit dem Attribut type="​FilesystemMetadataProvider"​.
 +
 +Von den gefundenen Einträgen wird der Pfad zur Metadaten-Datei auf der Festplatte ausgelesen (metadataFile="​..."​).\\
 +Im Anschluss werden die genannten Dateien der Reihe nach untersucht.\\
 +
 +Es werden hierbei die <​ds:​X509Certificate>​-Blöcke betrachtet und geprüft, ob das Zertifikat noch gültig ist.\\
 +Unterschreitet dessen Gültigkeitsdauer einen bestimmten Zeitrahmen (z.B 30 Tage) so wird die zugehörige entityID des SPs bemängelt.
 +
 +Nachdem alle Dateien durchlaufen wurden, so wird zum Schluss eine Zusammenfassung im Nagios-Format ausgegeben.\\
 +Mit Hilfe dieser Ausgabe kann im Centreon ein Check eingerichtet werden, wodurch vor ablaufenden SPs gewarnt wird.
 +
 +Die Ausgabe enthält die entityIDs der betroffenen SPs und kann wie folgt aussehen:\\
 +
 +<​code>​
 +OK - OK (30/30)
 +WARNING - OK (25/30), WARN (5/30)
 +CRITICAL - OK (20/30), WARN (8/30), CRIT (2/30)
 + WARN - The certificates of the following SPs are running End-Of-Live:​
 + https://​bs.zih.tu-dresden.de/​shibboleth
 + ...
 + http://​campussachsen.tu-dresden.de/​shibboleth
 + CRIT - This are the SPs whome certificates are expired
 + https://​selfservice.zih.tu-dresden.de
 + ...
 +</​code>​
 +
 +Der Aufruf des Skriptes kann wie folgt geschehen:
 +
 +<​code>​
 +This script reads metadata of shibboleth service providers and checks the lifetime of their certificates.
 +
 +Usage:
 +PHP metadataCertificateValidator.php
 +PHP metadataCertificateValidator.php [-h | --help]
 +PHP metadataCertificateValidator.php [-v | --verbose]
 +PHP metadataCertificateValidator.php [-p <​file>​ | --provider <​file>​]
 +PHP metadataCertificateValidator.php [-m <​directory>​ | --metadata <​directory>​]
 +PHP metadataCertificateValidator.php [-w <​days>​ | --warning <​days>​]
 +PHP metadataCertificateValidator.php [-c <​days>​ | --critical <​days>​]
 +
 +-h, --help
 + shows this help
 +-v, --verbose
 + turn on verbose-mode
 +-p, --provider <​file>​
 + path to config-file:​ metadata-providers.xml
 +-m, --metadata <​directory>​
 + directory of metadata-files
 +-w, --warning <​days>​
 + days until expiration of certificate (default: 30)
 +-c, --critical <​days>​
 + days until expiration of certificate (default: 7)
 </​code>​ </​code>​
  • Zuletzt geändert: vor 3 Jahren