Zeige QuelltextÄltere VersionenLinks hierherNach oben Letzte ÄnderungenPer E-Mail sendenDruckenPermalink × Inhaltsverzeichnis IdP 3.x Vorarbeiten: Tomat Installation Debian 8 CentOS 7 RHEL Java-Konfiguration Debian CentOS/RHEL Port-Konfigurtion Java Server Tag Library (JSTL) Tomcat Restart Tomcat 7 Dies ist eine alte Version des Dokuments! IdP 3.x Vorarbeiten: Tomat Installation Debian 8 root@idp:~# apt-get install tomcat8 Hinweis: Sofern Sie tomat8 aus Debian-Backports verwenden (nicht unbedingt nötig) brauchen Sie auch das Paket 'libservlet3.1-java' um den IdP betreiben zu können. CentOS 7 Siehe https://panovski.me/install-tomcat-8-on-centos-7/ RHEL EPEL installieren RHEL/CentOS 6 32-Bit wget http://download.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm rpm -ivh epel-release-6-8.noarch.rpm RHEL/CentOS 6 64-Bit wget http://download.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm rpm -ivh epel-release-6-8.noarch.rpm EPEL verifizieren yum repolist EPEL aktivieren yum-config-manager --enable epel yum install tomcat Der IdP läuft als Teil von Tomcat natürlich auch mit der Unix-ID des Tomcat-Users. Sofern Sie SSL-Credentials (RSA-Private- und Public-Key) - wie unter Debian/Ubuntu üblich - nach /etc/ssl/private bzw. /etc/ssl/certs legen wollen, müssen Sie den Tomcat-User berechtigen, den RSA-Private-Key unter /etc/ssl/private zu lesen: root@idp:~# usermod -aG ssl-cert tomcat8 Java-Konfiguration Einige globale Java-Parameter müssen beim Tomcat-Start festgelegt werden. Das IdP-Servlet benötigt mehr Speicher, als gemäß den Voreinstellungen vorgesehen ist und Zugriff auf das Filesystem. Durch Angabe von /dev/urandom wird der Start von Tomcat deutlich beschleunigt: Debian /etc/default/tomcat8 # den Tomcat mit genug Speicher starten: JAVA_OPTS="-Djava.awt.headless=true -XX:+UseConcMarkSweepGC -Xms1024m -Xmx2048m -Djava.security.egd=file:/dev/urandom -Djdk.tls.trustNameService=true" # Zugriff auf das File-System: TOMCAT8_SECURITY=no CentOS/RHEL Die Tomcat-Start-Optionen werden in /etc/tomcat8/tomcat8.conf festegelegt. Port-Konfigurtion In der Tomcat-Configuration wird dann aus Sicherheitsgründen der Default-Port 8080 abgeschaltet auf Port 8009 der AJP-Connector aktiviert über den der vorgelagerte Webserver Anfragen an Tomcat weiterleitet /etc/tomcat8/server.xml <Server port="8005" shutdown="SHUTDOWN"> <!-- ... --> <Service name="Catalina"> <!-- ... --> <!-- non-SSL/TLS HTTP/1.1 Connector on port 8080 abschalten --> <!-- <Connector port="8080" protocol="HTTP/1.1" connectionTimeout="20000" redirectPort="8443" /> --> <!-- ... --> <!-- Define an AJP 1.3 Connector on port 8009 --> <Connector port="8009" address="127.0.0.1" protocol="AJP/1.3" redirectPort="8443" enableLookups="false" useIPVHosts="true" maxPostSize="100000" URIEncoding="UTF-8" /> <!-- ... --> </Service> <!-- ... --> </Server> Um das IdP-Servlet im Tomcat zu aktivieren, erstellen Sie folgende Datei im Tomcat-localhost-Context: /etc/tomcat8/Catalina/localhost/idp.xml <Context docBase="/opt/shibboleth-idp/war/idp.war" privileged="true" unpackWAR="true" antiResourceLocking="false" swallowOutput="true" /> IdP-Sessions gehen bei einem Tomcat-Neustart in jedem Fall verloren. Daher macht es keinen Sinn (bzw. führt nur zu unnötigen IdP-Fehlermeldungen) wenn alte Sessions bei einen Tomcat-Neustart weiter existieren. Deaktivieren Sie daher dieses Tomcat-Feature: /etc/tomcat8/context.xml <?xml version="1.0" encoding="UTF-8"?> <!-- ... --> <!-- The contents of this file will be loaded for each web application --> <Context> <!-- Default set of monitored resources. If one of these changes, the --> <!-- web application will be reloaded. --> <WatchedResource>WEB-INF/web.xml</WatchedResource> <WatchedResource>${catalina.base}/conf/web.xml</WatchedResource> <!-- Uncomment this to disable session persistence across Tomcat restarts --> <!-- siehe https://wiki.shibboleth.net/confluence/display/IDP30/ApacheTomcat8 --> <Manager pathname="" /> </Context> Java Server Tag Library (JSTL) Als letztes muss noch die Java Server Tag Library heruntergeladen und in das Tomcat-Verzeichnis $CATALINA_BASE/lib gelegt werden (unter Debian/Unbuntu ist das /var/lib/tomcat8/lib, bei anderen Distributionen bitte entsprechend anpassen): root@idp:~# wget https://build.shibboleth.net/nexus/service/local/repositories/thirdparty/content/javax/servlet/jstl/1.2/jstl-1.2.jar \ -O /var/lib/tomcat8/lib/jstl-1.2.jar Tomcat Restart Nach den ganzen obigen Anpassungen können Sie jetzt den Tomcat neu starten: root@idp:~# systemctl restart tomcat8 Lassen Sie am besten beim restart des Tomcat in einem zweiten Fenster den Tomcat-Log mitlaufen um zu sehen ob es beim Start Probleme gibt: root@idp:~# tail -f /var/log/tomcat8/catalina.out Sofern der Tomcat nicht fehlerfrei startet sollten Sie dem erst nachgehen bevor Sie mit dieser Anleitung weiter machen. Wenn im Log die Meldung „Server startup in XXXXX ms“ kommt ist der Tomcat betriebsbereit. Kontrollieren Sie dann ob die Port-Konfiguration erfolgreich war und der Tomcat nur noch an zwei Ports auf Localhost lauscht: root@idp:~# netstat -tlpen | grep java tcp6 0 0 127.0.0.1:8005 :::* LISTEN 118 5994188 2594/java tcp6 0 0 127.0.0.1:8009 :::* LISTEN 118 5993661 2594/java Tomcat 7 Wir empfehlen Tomcat8, siehe oben. Falls Sie noch Tomcat7 einsetzen ist das folgende vielleicht hilfreich: Sollte es beim Neustart nach Installation und Konfiguration des IdP folgender Fehlermeldung kommen: „Resource specification not allowed here for source level below 1.7“ … so muss die Tomcat-eigene web.xml angepasst werden. Siehe hierzu http://www.censore.blogspot.in/2015/04/how-to-set-tomcat-7-source-level-to.html Bei Debian/Ubuntu liegt diese Datei unter /etc/tomcat7/web.xml, bei SLES 12 unter /usr/share/tomcat/conf/web.xml Weiter geht es mit HTTP-Server. Zuletzt geändert: vor 7 Jahren Anmelden