Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:shibidp3prepare-tomcat [2017/02/01 17:26] – Raoul Gunnar Borenius
+++ de:shibidp3prepare-tomcat [2021/05/03 13:18] (aktuell) – veralteten Inhalt gelöscht Silke Meyer
@@ Zeile 1: / Zeile 1: @@
-===== IdP 3.x Vorarbeiten: Tomat =====
-====Tomcat 8=====
-=== Hinweis zum Java Security Manager ===
-Den Java-Security-Manager müssen Sie abschalten um die IdP-Software zum Laufen zu bekommen. In neueren
-Tomcats (zumindest unter Debian/Ubuntu) wird dieser offenbar standardmässig nicht mehr verwendet so dass
-dieser Punkt keine Rolle spielen sollte. Wenn Sie eine andere Platform verwenden sollten Sie diesen Punkt
-vor der Installation überprüfen.
-===CentOS 7===
-Siehe https://panovski.me/install-tomcat-8-on-centos-7/
-===Debian 8===
-Die Tomcat-Version 8.0.14 in Debian 8 ist nicht besonders fehlerfrei, wir empfehlen daher die Installation aus den [[https://backports.debian.org/Instructions/|Debian-Backport]] (Tomcat Version >= 8.5.x):
-<code bash>
-root@idp:~# apt-get install -t jessie-backports tomcat8 tomcat8-admin \
-           tomcat8-docs libservlet3.1-java
-</code>
-Der IdP läuft als Teil von Tomcat natürlich auch mit der Unix-ID des Tomcat-Users. Sofern Sie SSL-Credentials (RSA-Private- und Public-Key) - wie unter Debian/Ubuntu üblich - nach /etc/ssl/private bzw. /etc/ssl/certs legen wollen, müssen Sie den Tomcat-User berechtigen, den RSA-Private-Key unter /etc/ssl/private zu lesen:
-<code bash>
-root@idp:~# usermod -aG ssl-cert tomcat8
-</code>
-Einige globale Java-Parameter müssen beim Tomcat-Start festgelegt werden. Das IdP-Servlet benötigt mehr Speicher, als gemäß den Voreinstellungen vorgesehen ist und Zugriff auf das Filesystem.
-Durch Angabe von /dev/urandom wird der Start von Tomcat deutlich beschleunigt:
-<file bash /etc/default/tomcat8>
-# den Tomcat mit genug Speicher starten:
-JAVA_OPTS="-Djava.awt.headless=true -Xms1024m -Xmx2048m -XX:+UseConcMarkSweepGC -Xms1024m -Xmx2048m  -Djava.security.egd=file:/dev/urandom -Djdk.tls.trustNameService=true"
-# Zugriff auf das File-System:
-TOMCAT8_SECURITY=no
-</file>
-In der Tomcat-Configuration wird dann
-  * aus Sicherheitsgründen der Default-Port 8080 abgeschaltet
-  * auf Port 8009 der AJP-Connector aktiviert über den der vorgelagerte Webserver Anfragen an Tomcat weiterleitet
-<file xml /etc/tomcat8/server.xml>
-<Server port="8005" shutdown="SHUTDOWN">
-   <!-- ... -->
-  <Service name="Catalina">
-    <!-- ... -->
-    <!-- non-SSL/TLS HTTP/1.1 Connector on port 8080 abschalten -->
-    <!-- <Connector port="8080" protocol="HTTP/1.1"
-               connectionTimeout="20000"
-               redirectPort="8443" /> -->
-    <!-- ... -->
-    <!-- Define an AJP 1.3 Connector on port 8009 -->
-    <Connector port="8009"
-               address="127.0.0.1"
-               protocol="AJP/1.3"
-               redirectPort="8443"
-               enableLookups="false"
-               useIPVHosts="true"
-               maxPostSize="100000"
-               URIEncoding="UTF-8" />
-    <!-- ... -->
-  </Service>
-  <!-- ... -->
-</Server>
-</file>
-Um das IdP-Servlet im Tomcat zu aktivieren, erstellen Sie folgende Datei im Tomcat-localhost-Context:
-<code xml /etc/tomcat8/Catalina/localhost/idp.xml>
-<Context docBase="/opt/shibboleth-idp/war/idp.war"
-         privileged="true"
-         unpackWAR="true"
-         antiResourceLocking="false"
-         swallowOutput="true" />
-</code>
-===Java Server Tag Library (JSTL)===
-Als letztes muss noch die Java Server Tag Library heruntergeladen und in das Tomcat-Verzeichnis $CATALINA_BASE/lib gelegt werden (unter Debian/Unbuntu ist das /var/lib/tomcat8/lib, bei anderen Distributionen bitte entsprechend anpassen):
-<code bash>
-root@idp:~# cd /var/lib/tomcat8/lib
-root@idp:~# wget https://build.shibboleth.net/nexus/service/local/repositories/thirdparty/content/javax/servlet/jstl/1.2/jstl-1.2.jar -O /var/lib/tomcat8/lib/jstl-1.2.jar
-</code>
-=== Tomcat Restart ===
-Nach den ganzen obigen Anpassungen können Sie jetzt den Tomcat neu starten:
-<code bash>
-root@idp:~# systemctl restart tomcat8
-</code>
-Lassen Sie am besten beim restart des Tomcat in einem zweiten Fenster den Tomcat-Log mitlaufen um zu sehen
-ob es beim Start Probleme gibt:
-<code bash>
-root@idp:~# tail -f /var/log/tomcat8/catalina.out
-</code>
-Sofern der Tomcat nicht fehlerfrei startet sollten Sie dem erst nachgehen bevor Sie mit dieser Anleitung weiter machen. Wenn im Log die Meldung "Server startup in XXXXX ms" kommt ist der Tomcat betriebsbereit. Kontrollieren Sie dann ob die Port-Konfiguration erfolgreich war und der Tomcat nur noch an zwei Ports auf Localhost lauscht:
-<code sh>
-root@server:~# netstat -tlpen | grep java
-tcp6       0      0 127.0.0.1:8005          :::*                    LISTEN      118        5994188     2594/java
-tcp6       0      0 127.0.0.1:8009          :::*                    LISTEN      118        5993661     2594/java
-</code>
-====Tomcat 7=====
-Wir empfehlen Tomcat8, siehe oben. Falls Sie noch Tomcat7 einsetzen ist das folgende vielleicht hilfreich:
-Sollte es beim Neustart nach Installation und Konfiguration des IdP folgender Fehlermeldung kommen:\\
-> "Resource specification not allowed here for source level below 1.7"\\
-... so muss die Tomcat-eigene web.xml angepasst werden. Siehe hierzu http://www.censore.blogspot.in/2015/04/how-to-set-tomcat-7-source-level-to.html \\
-Bei Debian/Ubuntu liegt diese Datei unter /etc/tomcat7/web.xml, bei SLES 12 unter /usr/share/tomcat/conf/web.xml
-===RHEL===
-EPEL installieren
-RHEL/CentOS 6 32-Bit
-<code bash>
-wget http://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm
-rpm -ivh epel-release-6-8.noarch.rpm
-</code>
-RHEL/CentOS 6 64-Bit
-<code bash>
-wget http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
-rpm -ivh epel-release-6-8.noarch.rpm
-</code>
-EPEL verifizieren
-<code bash>
-yum repolist
-</code>
-EPEL aktivieren
-<code bash>
-yum-config-manager --enable epel
-</code>
-<code bash>
-yum install tomcat
-</code>