Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:shibidp3prepare [2016/10/27 07:11] – [Tomcat 8] Raoul Gunnar Borenius | de:shibidp3prepare [2016/10/27 07:41] – Raoul Gunnar Borenius | ||
---|---|---|---|
Zeile 2: | Zeile 2: | ||
**NB** Bei den Konfigurationsbeispielen bitte nicht die kompletten Dateien mit den Konfigurationsschnipseln ersetzen, i.d.R. handelt es sich nur um Auszüge. Bitte nur die angezeigten Zeilen übernehmen bzw. entsprechend ergänzen! \\ | **NB** Bei den Konfigurationsbeispielen bitte nicht die kompletten Dateien mit den Konfigurationsschnipseln ersetzen, i.d.R. handelt es sich nur um Auszüge. Bitte nur die angezeigten Zeilen übernehmen bzw. entsprechend ergänzen! \\ | ||
- | {{de: | ||
- | =====Java===== | + | ===== FreeBSD |
+ | | ||
- | Auch wenn die Shibboleth-Entwickler Oracle-Java empfehlen (weil die IdP-Software darunter entwickelt wird) setzen wir | + | ===== Linux und Windows ===== |
- | auf den DFN-IdPs durchgängig OpenJDK ein. Es ist bei Debian/ | + | |
- | installieren und up-to-date zu halten. Wir haben damit keine Probleme im Betrieb festgestellt und können es uneingeschränkt | + | |
- | empfehlen. | + | |
- | ====Debian 7, 8, Ubuntu 14.x, 15.x==== | + | ====Java==== |
- | ===OpenJDK=== | + | [[de: |
- | <code bash> | ||
- | root@idp:~# apt-get install openjdk-7-jdk | ||
- | </ | ||
- | |||
- | Für den Fall, dass mehrere Java Runtime Environments (JRE) vorhanden sind, muss das soeben zusammen mit dem JDK installierte JRE aktiviert werden: | ||
- | <code bash> | ||
- | root@idp:~# update-alternatives --config java | ||
- | </ | ||
- | |||
- | ====CentOS 6, 7==== | ||
- | |||
- | Siehe https:// | ||
- | |||
- | ====RHEL==== | ||
- | |||
- | ===OpenJDK=== | ||
- | |||
- | <code bash> | ||
- | yum install java-1.7.0-openjdk | ||
- | update-alternatives --config java | ||
- | </ | ||
- | |||
- | ====SLES 11, 12==== | ||
- | |||
- | Install IBM Java @ SLES 11 SP 3 | ||
- | |||
- | <code bash> | ||
- | zypper install java-1_7_0-ibm | ||
- | </ | ||
- | |||
- | ==== Java Cryptography Extension (JCE) installiert? | ||
- | |||
- | Bei Verwendung von OpenJDK (Debian/ | ||
- | Bei anderen Systemen muss u.U. nachgearbeitet werden, siehe dazu [[de: | ||
- | |||
- | |||
- | =====Zertifikat(e)====== | ||
- | |||
- | Für HTTP Server sowie IdP (Signierung, | ||
- | Zur Erstellung eines Zertifikatrequests siehe die [[https:// | ||
- | |||
- | =====HTTP Server==== | ||
- | |||
- | ====Apache 2.2==== | ||
- | |||
- | ===RHEL 6=== | ||
- | |||
- | <code bash> | ||
- | yum install httpd mod_ssl | ||
- | </ | ||
- | |||
- | ====Apache 2.4==== | ||
- | |||
- | ===SLES 11/12=== | ||
- | |||
- | Falls Apache 2.4 als Frontend vor Tomcat 7.0 via AJP verwendet wird: in / | ||
- | |||
- | ===Debian 8=== | ||
- | |||
- | <code bash> | ||
- | root@idp:~# apt-get install apache2 | ||
- | </ | ||
- | |||
- | Für einen sicheren Betrieb werden weiterhin einige Module benötigt, die nicht in allen Fällen per default aktiv sind: | ||
- | |||
- | <code bash> | ||
- | root@idp:~# a2enmod ssl | ||
- | root@idp:~# a2enmod headers | ||
- | root@idp:~# a2enmod proxy_ajp | ||
- | </ | ||
- | |||
- | Abschließend muss der Web Server neu gestartet werden | ||
- | <code bash> | ||
- | root@idp:~# service apache2 restart | ||
- | </ | ||
- | |||
- | |||
- | === Konfiguration === | ||
- | |||
- | <file apache / | ||
- | ################################################ | ||
- | # | ||
- | # Bitte im Folgenden ' | ||
- | # jeweils durch die entsprechende IP und ' | ||
- | # den FQDN Ihres IdPs ersetzen! | ||
- | # | ||
- | # Die Angabe der Portnummer bei ' | ||
- | # für den SSO auf Port 443 ein anderes Zertifikat verwendet werden | ||
- | # soll als für die Attribute Authority auf Port 8443 | ||
- | # | ||
- | # | ||
- | # SingleSignOnService | ||
- | # | ||
- | # https:// | ||
- | # https:// | ||
- | # https:// | ||
- | # | ||
- | # Sofern der Port 443 nicht von der Distribution angeschaltet wird | ||
- | # (bei Debian in / | ||
- | # können Sie das hier manuell machen: | ||
- | # | ||
- | # Listen 443 | ||
- | # | ||
- | |||
- | ################################################ | ||
- | # | ||
- | # SingleSignOnService auf Port 443 | ||
- | # | ||
- | < | ||
- | ServerName | ||
- | |||
- | SSLEngine on | ||
- | SSLCertificateFile | ||
- | SSLCertificateKeyFile | ||
- | SSLCACertificateFile | ||
- | |||
- | AddDefaultCharset UTF-8 | ||
- | |||
- | < | ||
- | Require all granted | ||
- | ProxyPass ajp:// | ||
- | # " | ||
- | # da hierbei mit iframes gearbeitet wird | ||
- | Header always append X-FRAME-OPTIONS " | ||
- | </ | ||
- | |||
- | </ | ||
- | |||
- | ################################################ | ||
- | # | ||
- | # ArtifactResolutionService und AttributeService | ||
- | # | ||
- | # https:// | ||
- | # https:// | ||
- | # | ||
- | # https:// | ||
- | # https:// | ||
- | # | ||
- | Listen IDP-IP-ADRESSE: | ||
- | Listen [IDP-IPv6-ADRESSE]: | ||
- | |||
- | < | ||
- | ServerName | ||
- | |||
- | SSLEngine on | ||
- | SSLCertificateFile | ||
- | SSLCertificateKeyFile | ||
- | SSLCACertificateFile | ||
- | SSLCACertificatePath | ||
- | |||
- | # hier muss wegen veralteten SP-Clients (z.B. Thomson Reuters) eine etwas weniger strikte Konfiguration genommen | ||
- | # werden als von bettercrypto.org empfohlen wird: | ||
- | SSLCipherSuite ' | ||
- | | ||
- | # Diese drei SSL-Optionen sind zwingend notwendig damit SP-Abfragen auf diesen Port funktionieren! | ||
- | # Details siehe Shibboleth-Wiki | ||
- | SSLVerifyClient | ||
- | SSLVerifyDepth | ||
- | SSLOptions | ||
- | |||
- | < | ||
- | Require all granted | ||
- | ProxyPass ajp:// | ||
- | </ | ||
- | |||
- | </ | ||
- | |||
- | </ | ||
- | Nach jeder Änderung die Konfiguration des HTTP Servers neu laden: | ||
- | <code bash> | ||
- | root@idp:~# service apache2 reload | ||
- | </ | ||
- | |||
- | Anmerkungen: | ||
- | * Achten Sie bitte darauf, dass sich die SSL-Direktiven tatsächlich in einem VirtualHost-Kontext befinden und **nicht** im Location-Kontext. (Mehr dazu im [[https:// | ||
- | * stellen Sie sicher dass die grundsätzliche Apache-Konfiguration aktuellen Sicherheitsstandards entspricht! Details dazu übersteigen den Rahmen diese Anleitung. Hilfreiche Seiten: | ||
- | * [[https:// | ||
- | * [[https:// | ||
- | * https:// | ||
- | * [[https:// | ||
- | * [[https:// | ||
- | |||
- | ===Windows=== | ||
- | |||
- | Beispiel für eine Minimal-Konfiguration unter Windows (bereitgestellt von Thomas Glatzer, Uni Mainz): | ||
- | |||
- | <code apache conf/ | ||
- | # | ||
- | # This is the main Apache HTTP server configuration file. It contains the | ||
- | # configuration directives that give the server its instructions. | ||
- | # See < | ||
- | # In particular, see | ||
- | # < | ||
- | # for a discussion of each configuration directive. | ||
- | # | ||
- | |||
- | # ServerRoot: The top of the directory tree under which the server' | ||
- | # configuration, | ||
- | # | ||
- | # Do not add a slash at the end of the directory path. If you point | ||
- | # ServerRoot at a non-local disk, be sure to specify a local disk on the | ||
- | # Mutex directive, if file-based mutexes are used. If you wish to share the | ||
- | # same ServerRoot for multiple httpd daemons, you will need to change at | ||
- | # least PidFile. | ||
- | # | ||
- | ServerRoot " | ||
- | |||
- | |||
- | # | ||
- | # Dynamic Shared Object (DSO) Support | ||
- | # | ||
- | LoadModule authn_core_module modules/ | ||
- | LoadModule authz_core_module modules/ | ||
- | |||
- | LoadModule headers_module modules/ | ||
- | LoadModule reqtimeout_module modules/ | ||
- | LoadModule log_config_module modules/ | ||
- | LoadModule mime_module modules/ | ||
- | |||
- | LoadModule proxy_module modules/ | ||
- | #LoadModule proxy_http_module modules/ | ||
- | LoadModule proxy_http_module modules/ | ||
- | |||
- | LoadModule ssl_module modules/ | ||
- | LoadModule socache_shmcb_module modules/ | ||
- | |||
- | # ' | ||
- | ServerAdmin glatzert@uni-mainz.de | ||
- | ServerName shib.uni-mainz.de | ||
- | |||
- | # | ||
- | # Deny access to the entirety of your server' | ||
- | # explicitly permit access to web content directories in other | ||
- | # < | ||
- | # | ||
- | < | ||
- | AllowOverride none | ||
- | Require all denied | ||
- | </ | ||
- | |||
- | DocumentRoot " | ||
- | < | ||
- | Options None | ||
- | |||
- | AllowOverride None | ||
- | Require all granted | ||
- | </ | ||
- | |||
- | <Files " | ||
- | Require all denied | ||
- | </ | ||
- | |||
- | ErrorLog " | ||
- | TransferLog " | ||
- | LogLevel warn | ||
- | |||
- | < | ||
- | TypesConfig conf/ | ||
- | |||
- | AddType application/ | ||
- | AddType application/ | ||
- | </ | ||
- | |||
- | Include conf/ | ||
- | Include conf/ | ||
- | Include conf/ | ||
- | </ | ||
- | <code apache conf/ | ||
- | ## | ||
- | ## SSL Global Context | ||
- | ## | ||
- | ## All SSL configuration in this context applies both to | ||
- | ## the main server and all SSL-enabled virtual hosts. | ||
- | ## | ||
- | |||
- | # | ||
- | # Some MIME-types for downloading Certificates and CRLs | ||
- | # | ||
- | AddType application/ | ||
- | AddType application/ | ||
- | |||
- | SSLRandomSeed startup builtin | ||
- | SSLRandomSeed connect builtin | ||
- | |||
- | SSLProtocol All -SSLv3 | ||
- | SSLCipherSuite ECDH+AESGCM: | ||
- | SSLHonorCipherOrder On | ||
- | |||
- | SSLUseStapling off | ||
- | SSLStaplingCache " | ||
- | SSLStaplingReturnResponderErrors off | ||
- | |||
- | SSLSessionCache " | ||
- | SSLSessionCacheTimeout | ||
- | |||
- | SSLCertificateFile " | ||
- | SSLCertificateKeyFile " | ||
- | </ | ||
- | <code apache conf/ | ||
- | ################################################ | ||
- | # | ||
- | # SingleSignOnService | ||
- | # | ||
- | |||
- | Listen 443 | ||
- | |||
- | < | ||
- | DocumentRoot " | ||
- | ServerAdmin glatzert@uni-mainz.de | ||
- | |||
- | SSLEngine on | ||
- | Header add Strict-Transport-Security " | ||
- | | ||
- | <Proxy http:// | ||
- | Require all granted | ||
- | </ | ||
- | ProxyPass /idp/ http:// | ||
- | </ | ||
- | |||
- | ################################################ | ||
- | # | ||
- | # ArtifactResolutionService und AttributeService | ||
- | # | ||
- | |||
- | Listen 8443 | ||
- | |||
- | < | ||
- | DocumentRoot " | ||
- | ServerAdmin glatzert@uni-mainz.de | ||
- | | ||
- | SSLEngine on | ||
- | Header add Strict-Transport-Security " | ||
- | | ||
- | <Proxy http:// | ||
- | Require all granted | ||
- | </ | ||
- | ProxyPass /idp/ http:// | ||
- | </ | ||
- | </ | ||
- | <code apache conf/ | ||
- | # https:// | ||
- | |||
- | LoadModule mod_shib C:/ | ||
- | |||
- | < | ||
- | AuthType None | ||
- | Require all granted | ||
- | </ | ||
- | |||
- | < | ||
- | AuthType shibboleth | ||
- | ShibRequestSetting requireSession 1 | ||
- | Require shibboleth | ||
- | </ | ||
- | </ | ||
- | |||
- | =====SQL DBMS===== | ||
- | Optional, um die Informationen zu User Consent (ehemals uApprove) und persistentId dauerhaft zu speichern. Siehe [[de: | ||
- | |||
- | ====MySQL==== | ||
- | |||
- | ===Debian 8=== | ||
- | <code bash> | ||
- | root@idp:~# apt-get install mysql-server mysql-client libmysql-java | ||
- | </ | ||
- | |||
- | Damit der Tomcat die MySQL-Java-Library beim Starten einliest (damit der IdP sie dann verwenden kann) wird | ||
- | diese üblicherweise in / | ||
- | |||
- | <code bash> | ||
- | root@idp:~# mkdir -p / | ||
- | root@idp:~# ln -s / | ||
- | root@idp:~# systemctl restart tomcat8 | ||
- | </ | ||
- | |||
- | ====PostgreSQL==== | ||
- | |||
- | Siehe hierzu einstweilen die [[https:// | ||
- | Hierzu jedenfalls die entsprechende Java JDBC Komponente installieren (Debian/ | ||
- | <code bash> | ||
- | root@idp: | ||
- | </ | ||
- | ===RHEL=== | ||
- | <code bash> | ||
- | yum install postgresql-server postgresql | ||
- | </ | ||
=====Servlet Container===== | =====Servlet Container===== | ||
- | ====Tomcat 8===== | ||
- | ===CentOS 7=== | ||
- | Siehe https:// | ||
- | ===Debian 8=== | ||
- | Die Tomcat-Version in Debian 8 leidet unter einem Bug, der in der Backports-Version behoben wurde. Wir empfehlen daher die Installation aus den Backports: | ||
- | <code bash> | ||
- | root@idp:~# apt-get install -t jessie-backports tomcat8 tomcat8-admin \ | ||
- | | ||
- | </ | ||
- | Der IdP läuft als Teil von Tomcat natürlich auch mit der Unix-ID des Tomcat-Users. Sofern Sie SSL-Credentials (RSA-Private- und Public-Key) - wie unter Debian/ | ||
- | <code bash> | ||
- | root@idp:~# usermod -aG ssl-cert tomcat8 | ||
- | </ | ||
- | Einige globale Java-Parameter müssen beim Tomcat-Start festgelegt werden. Das IdP-Servlet braucht Zugriff auf das Filesystem und benötigt mehr Speicher, als gemäß den Voreinstellungen vorgesehen ist. Weiterhin lohnt es sich, den Tomcat-Start durch einige zusätzliche Maßnahmen zu beschleunigen, | ||
- | <file bash / | ||
- | JAVA_OPTS=" | ||
- | </ | ||
- | Anmerkungen: | + | [[de:shibidp3prepare-tomcat|Tomcat]] |
- | * Sofern Ihr IdP nicht unter / | + | |
- | Die Liste der " | + | |
- | <file properties / | + | |
- | # falls MySQL inklusive libmysql-java installiert wurde (s.o.), die Pfade entsprechend ergänzen, bei Postgres JDBC Treiber analog verfahren: | + | |
- | common.loader=" | + | |
- | # [...] | + | |
- | # Beschleunigung des Tomcat-Starts: | + | |
- | tomcat.util.scan.StandardJarScanFilter.jarsToSkip=\ | + | |
- | activation-1.1.jar, | + | |
- | antlr-2.7.7.jar, | + | |
- | aopalliance-1.0.jar, | + | |
- | bcprov-jdk15on-1.51.jar, | + | |
- | c3p0-0.9.2.1.jar, | + | |
- | commons-codec-1.10.jar, | + | |
- | commons-collections-3.2.1.jar, | + | |
- | commons-compiler-2.7.8.jar, | + | |
- | commons-lang-2.4.jar, | + | |
- | cryptacular-1.0.jar, | + | |
- | dom4j-1.6.1.jar, | + | |
- | guava-18.0.jar, | + | |
- | hibernate-commons-annotations-4.0.4.Final.jar, | + | |
- | hibernate-core-4.3.5.Final.jar, | + | |
- | hibernate-entitymanager-4.3.5.Final.jar, | + | |
- | hibernate-jpa-2.1-api-1.0.0.Final.jar, | + | |
- | httpclient-4.3.6.jar, | + | |
- | httpclient-cache-4.3.6.jar, | + | |
- | httpcore-4.3.3.jar, | + | |
- | idp-attribute-api-3.1.1.jar, | + | |
- | idp-attribute-filter-api-3.1.1.jar, | + | |
- | idp-attribute-filter-impl-3.1.1.jar, | + | |
- | idp-attribute-filter-spring-3.1.1.jar, | + | |
- | idp-attribute-resolver-api-3.1.1.jar, | + | |
- | idp-attribute-resolver-impl-3.1.1.jar, | + | |
- | idp-attribute-resolver-spring-3.1.1.jar, | + | |
- | idp-authn-api-3.1.1.jar, | + | |
- | idp-authn-impl-3.1.1.jar, | + | |
- | idp-cas-api-3.1.1.jar, | + | |
- | idp-cas-impl-3.1.1.jar, | + | |
- | idp-consent-3.1.1.jar, | + | |
- | idp-core-3.1.1.jar, | + | |
- | idp-profile-api-3.1.1.jar, | + | |
- | idp-profile-impl-3.1.1.jar, | + | |
- | idp-profile-spring-3.1.1.jar, | + | |
- | idp-saml-api-3.1.1.jar, | + | |
- | idp-saml-impl-3.1.1.jar, | + | |
- | idp-schema-3.1.1.jar, | + | |
- | idp-session-api-3.1.1.jar, | + | |
- | idp-session-impl-3.1.1.jar, | + | |
- | idp-ui-3.1.1.jar, | + | |
- | jandex-1.1.0.Final.jar, | + | |
- | janino-2.7.8.jar, | + | |
- | javassist-3.18.1-GA.jar, | + | |
- | java-support-7.1.1.jar, | + | |
- | javax.json-1.0.4.jar, | + | |
- | javax.json-api-1.0.jar, | + | |
- | jboss-logging-3.1.3.GA.jar, | + | |
- | jboss-logging-annotations-1.2.0.Beta1.jar, | + | |
- | jboss-transaction-api_1.2_spec-1.0.0.Final.jar, | + | |
- | jcl-over-slf4j-1.7.10.jar, | + | |
- | jcommander-1.47.jar, | + | |
- | joda-time-2.7.jar, | + | |
- | jsr305-3.0.0.jar, | + | |
- | ldaptive-1.0.6.jar, | + | |
- | logback-classic-1.1.2.jar, | + | |
- | logback-core-1.1.2.jar, | + | |
- | mail-1.4.7.jar, | + | |
- | mchange-commons-java-0.2.3.4.jar, | + | |
- | ognl-2.6.11.jar, | + | |
- | opensaml-core-3.1.1.jar, | + | |
- | opensaml-messaging-api-3.1.1.jar, | + | |
- | opensaml-messaging-impl-3.1.1.jar, | + | |
- | opensaml-profile-api-3.1.1.jar, | + | |
- | opensaml-profile-impl-3.1.1.jar, | + | |
- | opensaml-saml-api-3.1.1.jar, | + | |
- | opensaml-saml-impl-3.1.1.jar, | + | |
- | opensaml-security-api-3.1.1.jar, | + | |
- | opensaml-security-impl-3.1.1.jar, | + | |
- | opensaml-soap-api-3.1.1.jar, | + | |
- | opensaml-soap-impl-3.1.1.jar, | + | |
- | opensaml-storage-api-3.1.1.jar, | + | |
- | opensaml-storage-impl-3.1.1.jar, | + | |
- | opensaml-xmlsec-api-3.1.1.jar, | + | |
- | opensaml-xmlsec-impl-3.1.1.jar, | + | |
- | slf4j-api-1.7.10.jar, | + | |
- | spring-aop-4.1.5.RELEASE.jar, | + | |
- | spring-beans-4.1.5.RELEASE.jar, | + | |
- | spring-binding-2.4.1.RELEASE.jar, | + | |
- | spring-context-4.1.5.RELEASE.jar, | + | |
- | spring-context-support-4.1.5.RELEASE.jar, | + | |
- | spring-core-4.1.5.RELEASE.jar, | + | |
- | spring-expression-4.1.5.RELEASE.jar, | + | |
- | spring-extensions-5.1.1.jar, | + | |
- | spring-jdbc-4.1.5.RELEASE.jar, | + | |
- | spring-js-2.4.1.RELEASE.jar, | + | |
- | spring-js-resources-2.4.1.RELEASE.jar, | + | |
- | spring-orm-4.1.5.RELEASE.jar, | + | |
- | spring-tx-4.1.5.RELEASE.jar, | + | |
- | spring-web-4.1.5.RELEASE.jar, | + | |
- | spring-webflow-2.4.1.RELEASE.jar, | + | |
- | spring-webmvc-4.1.5.RELEASE.jar, | + | |
- | spymemcached-2.11.4.jar, | + | |
- | stax2-api-3.1.4.jar, | + | |
- | stax-api-1.0-2.jar, | + | |
- | velocity-1.7.jar, | + | |
- | woodstox-core-asl-4.4.1.jar, | + | |
- | xml-apis-1.0.b2.jar, | + | |
- | xmlsec-2.0.3.jar | + | |
- | </ | + | |
- | In server.xml | + | ==== HTTP Server ==== |
- | * aus Sicherheitsgründen den Default-Port 8080 abschalten | + | [[de: |
- | * auf Port 2009 den AJP-Connector aktivieren über den der Webserver Anfragen weiterleitet | + | |
- | <file xml / | + | ====SQL DBMS==== |
- | <Server port=" | + | |
- | < | + | |
- | <Service name=" | + | |
- | <!-- ... --> | + | |
- | <!-- non-SSL/TLS HTTP/1.1 Connector on port 8080 abschalten --> | + | |
- | <!-- < | + | |
- | | + | |
- | | + | |
- | <!-- ... --> | + | |
- | <!-- Define an AJP 1.3 Connector on port 8009 --> | + | |
- | < | + | |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | <!-- ... --> | + | |
- | </ | + | |
- | <!-- ... --> | + | |
- | </ | + | |
- | </ | + | |
- | Außerdem (" | + | |
- | <file xml / | + | |
- | < | + | |
- | <!-- ... --> | + | |
- | <!-- Uncomment this to disable session persistence across Tomcat restarts --> | + | |
- | <Manager pathname="" | + | |
- | <!-- ...--> | + | |
- | </ | + | |
- | </ | + | |
- | Um das IdP-Servlet in Tomcat zu aktivieren, erstellen Sie folgende Datei im Tomcat-localhost-Context: | + | |
- | <code xml / | + | |
- | <Context docBase="/ | + | |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | </ | + | |
- | Als letztes muss noch die Java Server Tag Libarary heruntergeladen und in das Tomcat-Verzeichnis $CATALINA_BASE/ | + | [[de:shibidp3prepare-db|DB]] |
- | <code bash> | + | ====Zertifikat(e)==== |
- | root@idp:~# cd / | + | |
- | root@idp:/ | + | |
- | root@idp:/ | + | |
- | </ | + | |
+ | === Metadaten-Signatur === | ||
- | |||
- | ====Tomcat 7===== | ||
- | |||
- | Wir empfehlen Tomcat8, siehe oben. Falls Sie noch Tomcat7 einsetzen ist das folgende vielleicht hilfreich: | ||
- | |||
- | Sollte es beim Neustart nach Installation und Konfiguration des IdP folgender Fehlermeldung kommen:\\ | ||
- | > " | ||
- | ... so muss die Tomcat-eigene web.xml angepasst werden. Siehe hierzu http:// | ||
- | Bei Debian/ | ||
- | |||
- | ===RHEL=== | ||
- | EPEL installieren | ||
- | |||
- | RHEL/CentOS 6 32-Bit | ||
- | <code bash> | ||
- | wget http:// | ||
- | rpm -ivh epel-release-6-8.noarch.rpm | ||
- | </ | ||
- | RHEL/CentOS 6 64-Bit | ||
- | <code bash> | ||
- | wget http:// | ||
- | rpm -ivh epel-release-6-8.noarch.rpm | ||
- | </ | ||
- | EPEL verifizieren | ||
- | <code bash> | ||
- | yum repolist | ||
- | </ | ||
- | EPEL aktivieren | ||
- | <code bash> | ||
- | yum-config-manager --enable epel | ||
- | </ | ||
- | <code bash> | ||
- | yum install tomcat | ||
- | </ | ||
- | =====Kleinkram===== | ||
- | ====Debian 8==== | ||
Um die Signatur der Föderationsmetadaten validieren zu können müssen Sie das entsprechende Zertfikat von [[https:// | Um die Signatur der Föderationsmetadaten validieren zu können müssen Sie das entsprechende Zertfikat von [[https:// | ||
<code bash> | <code bash> | ||
Zeile 628: | Zeile 34: | ||
root@idp:~# wget https:// | root@idp:~# wget https:// | ||
</ | </ | ||
+ | |||
+ | === Openssl === | ||
+ | |||
Falls noch nicht geschehen, OpenSSL installieren (um später Zertifkat auf dem System verwalten zu können): | Falls noch nicht geschehen, OpenSSL installieren (um später Zertifkat auf dem System verwalten zu können): | ||
+ | |||
+ | == Debian/ | ||
+ | |||
<code bash> | <code bash> | ||
root@idp:~# apt-get install openssl | root@idp:~# apt-get install openssl | ||
</ | </ | ||
- | Wer keine Lust hat, später bei jedem install JAVA_HOME neu zu setzen, kann dies auch im jeweiligen home Verzeichnis in .bashrc definieren: | + | |
- | <file bash /home/userxy/.bashrc> | + | Für HTTP Server sowie IdP (Signierung, Verschlüsselung) ein Zertifikat erstellen, beim Beantragen bitte das Profil " |
- | # ... | + | Zur Erstellung eines Zertifikatrequests siehe die [[https://www.pki.dfn.de/faqpki/faqpki-allgemein/#c15083|FAQ der DFN-PKI]]. |
- | export JAVA_HOME=/usr | + | |
- | </file> | + | |
- | (oder für alle User in /etc/profile.d/java.sh) | + | |
=====Shibboleth Identity Provider===== | =====Shibboleth Identity Provider===== | ||
+ | |||
====Debian 8==== | ====Debian 8==== | ||
+ | |||
Shib IdP herunterladen, | Shib IdP herunterladen, | ||
<code bash> | <code bash> | ||
Zeile 652: | Zeile 63: | ||
root@idp:~# unzip shibboleth-identity-provider-3.x.x.zip | root@idp:~# unzip shibboleth-identity-provider-3.x.x.zip | ||
</ | </ | ||
+ | |||
Falls geplant ist, mehrere IdPs parallel zu betreiben, empfiehlt es sich, pro Instanz ein eigenes Installations-Quell-Verzeichnis anzulegen: | Falls geplant ist, mehrere IdPs parallel zu betreiben, empfiehlt es sich, pro Instanz ein eigenes Installations-Quell-Verzeichnis anzulegen: | ||
<code bash> | <code bash> |