Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:shibidp3prepare [2016/10/27 07:23] – Raoul Gunnar Borenius | de:shibidp3prepare [2017/02/01 17:34] – [SQL DBMS] Raoul Gunnar Borenius | ||
---|---|---|---|
Zeile 3: | Zeile 3: | ||
**NB** Bei den Konfigurationsbeispielen bitte nicht die kompletten Dateien mit den Konfigurationsschnipseln ersetzen, i.d.R. handelt es sich nur um Auszüge. Bitte nur die angezeigten Zeilen übernehmen bzw. entsprechend ergänzen! \\ | **NB** Bei den Konfigurationsbeispielen bitte nicht die kompletten Dateien mit den Konfigurationsschnipseln ersetzen, i.d.R. handelt es sich nur um Auszüge. Bitte nur die angezeigten Zeilen übernehmen bzw. entsprechend ergänzen! \\ | ||
- | ===== FreeBSD | + | =====Java===== |
- | | + | |
- | + | ||
- | ===== Linux und Windows ===== | + | |
- | + | ||
- | ====Java==== | + | |
[[de: | [[de: | ||
- | Auch wenn die Shibboleth-Entwickler Oracle-Java empfehlen (weil die IdP-Software darunter entwickelt wird) setzen wir | + | ===== Tomcat ===== |
- | auf den DFN-IdPs durchgängig OpenJDK ein. Es ist bei Debian/ | + | |
- | installieren und up-to-date zu halten. Wir haben damit keine Probleme im Betrieb festgestellt und können es uneingeschränkt | + | |
- | empfehlen. | + | |
- | ====Debian 7, 8, Ubuntu 14.x, 15.x==== | + | [[de: |
- | ===OpenJDK=== | + | ===== HTTP Server ===== |
- | <code bash> | + | [[de:shibidp3prepare-http|HTTP Server]] |
- | root@idp:~# apt-get install openjdk-7-jdk | + | |
- | </ | + | |
- | Für den Fall, dass mehrere Java Runtime Environments (JRE) vorhanden sind, muss das soeben zusammen mit dem JDK installierte JRE aktiviert werden: | ||
- | <code bash> | ||
- | root@idp:~# update-alternatives --config java | ||
- | </ | ||
- | ====CentOS 6, 7==== | + | =====Zertifikate===== |
- | Siehe https:// | + | [[de:shibidp3prepare-zert|Zertifikate]] |
- | ====RHEL==== | + | =====Shibboleth Identity Provider===== |
- | ===OpenJDK=== | + | [[de:shibidp3prepare-idp|Shibboleth |
- | + | ||
- | <code bash> | + | |
- | yum install java-1.7.0-openjdk | + | |
- | update-alternatives --config java | + | |
- | </ | + | |
- | + | ||
- | ====SLES 11, 12==== | + | |
- | + | ||
- | Install IBM Java @ SLES 11 SP 3 | + | |
- | + | ||
- | <code bash> | + | |
- | zypper install java-1_7_0-ibm | + | |
- | </ | + | |
- | + | ||
- | ==== Java Cryptography Extension (JCE) installiert? | + | |
- | + | ||
- | Bei Verwendung von OpenJDK (Debian/ | + | |
- | Bei anderen Systemen muss u.U. nachgearbeitet werden, siehe dazu [[de:shibidp3jce|JCE]] | + | |
- | + | ||
- | + | ||
- | =====Zertifikat(e)====== | + | |
- | + | ||
- | Für HTTP Server sowie IdP (Signierung, | + | |
- | Zur Erstellung eines Zertifikatrequests siehe die [[https:// | + | |
- | + | ||
- | =====HTTP Server==== | + | |
- | + | ||
- | ====Apache 2.2==== | + | |
- | + | ||
- | ===RHEL 6=== | + | |
- | + | ||
- | <code bash> | + | |
- | yum install httpd mod_ssl | + | |
- | </ | + | |
- | + | ||
- | ====Apache 2.4==== | + | |
- | + | ||
- | ===SLES 11/12=== | + | |
- | + | ||
- | Falls Apache 2.4 als Frontend vor Tomcat 7.0 via AJP verwendet wird: in / | + | |
- | + | ||
- | ===Debian 8=== | + | |
- | + | ||
- | <code bash> | + | |
- | root@idp:~# apt-get install apache2 | + | |
- | </ | + | |
- | + | ||
- | Für einen sicheren Betrieb werden weiterhin einige Module benötigt, die nicht in allen Fällen per default aktiv sind: | + | |
- | + | ||
- | <code bash> | + | |
- | root@idp:~# a2enmod ssl | + | |
- | root@idp:~# a2enmod headers | + | |
- | root@idp:~# a2enmod proxy_ajp | + | |
- | </ | + | |
- | + | ||
- | Abschließend muss der Web Server neu gestartet werden | + | |
- | <code bash> | + | |
- | root@idp:~# service apache2 restart | + | |
- | </ | + | |
- | + | ||
- | + | ||
- | === Konfiguration === | + | |
- | + | ||
- | <file apache / | + | |
- | ################################################ | + | |
- | # | + | |
- | # Bitte im Folgenden ' | + | |
- | # jeweils durch die entsprechende IP und ' | + | |
- | # den FQDN Ihres IdPs ersetzen! | + | |
- | # | + | |
- | # Die Angabe der Portnummer bei ' | + | |
- | # für den SSO auf Port 443 ein anderes Zertifikat verwendet werden | + | |
- | # soll als für die Attribute Authority auf Port 8443 | + | |
- | # | + | |
- | # | + | |
- | # SingleSignOnService | + | |
- | # | + | |
- | # https:// | + | |
- | # https:// | + | |
- | # https:// | + | |
- | # | + | |
- | # Sofern der Port 443 nicht von der Distribution angeschaltet wird | + | |
- | # (bei Debian in / | + | |
- | # können Sie das hier manuell machen: | + | |
- | # | + | |
- | # Listen 443 | + | |
- | # | + | |
- | + | ||
- | ################################################ | + | |
- | # | + | |
- | # SingleSignOnService auf Port 443 | + | |
- | # | + | |
- | < | + | |
- | ServerName | + | |
- | + | ||
- | SSLEngine on | + | |
- | SSLCertificateFile | + | |
- | SSLCertificateKeyFile | + | |
- | SSLCACertificateFile | + | |
- | + | ||
- | AddDefaultCharset UTF-8 | + | |
- | + | ||
- | < | + | |
- | Require all granted | + | |
- | ProxyPass ajp:// | + | |
- | # " | + | |
- | # da hierbei mit iframes gearbeitet wird | + | |
- | Header always append X-FRAME-OPTIONS " | + | |
- | </ | + | |
- | + | ||
- | </ | + | |
- | + | ||
- | ################################################ | + | |
- | # | + | |
- | # ArtifactResolutionService und AttributeService | + | |
- | # | + | |
- | # https:// | + | |
- | # https:// | + | |
- | # | + | |
- | # https:// | + | |
- | # https:// | + | |
- | # | + | |
- | Listen IDP-IP-ADRESSE: | + | |
- | Listen [IDP-IPv6-ADRESSE]: | + | |
- | + | ||
- | < | + | |
- | ServerName | + | |
- | + | ||
- | SSLEngine on | + | |
- | SSLCertificateFile | + | |
- | SSLCertificateKeyFile | + | |
- | SSLCACertificateFile | + | |
- | SSLCACertificatePath | + | |
- | + | ||
- | # hier muss wegen veralteten SP-Clients (z.B. Thomson Reuters) eine etwas weniger strikte Konfiguration genommen | + | |
- | # werden als von bettercrypto.org empfohlen wird: | + | |
- | SSLCipherSuite ' | + | |
- | + | ||
- | # Diese drei SSL-Optionen sind zwingend notwendig damit SP-Abfragen auf diesen Port funktionieren! | + | |
- | # Details siehe Shibboleth-Wiki | + | |
- | SSLVerifyClient | + | |
- | SSLVerifyDepth | + | |
- | SSLOptions | + | |
- | + | ||
- | < | + | |
- | Require all granted | + | |
- | ProxyPass ajp:// | + | |
- | </ | + | |
- | + | ||
- | </ | + | |
- | + | ||
- | </ | + | |
- | Nach jeder Änderung die Konfiguration des HTTP Servers neu laden: | + | |
- | <code bash> | + | |
- | root@idp:~# service apache2 reload | + | |
- | </ | + | |
- | + | ||
- | Anmerkungen: | + | |
- | * Achten Sie bitte darauf, dass sich die SSL-Direktiven tatsächlich in einem VirtualHost-Kontext befinden und **nicht** im Location-Kontext. (Mehr dazu im [[https:// | + | |
- | * stellen Sie sicher dass die grundsätzliche Apache-Konfiguration aktuellen Sicherheitsstandards entspricht! Details dazu übersteigen den Rahmen diese Anleitung. Hilfreiche Seiten: | + | |
- | * [[https:// | + | |
- | * [[https:// | + | |
- | * https:// | + | |
- | * [[https:// | + | |
- | * [[https:// | + | |
- | + | ||
- | ===Windows=== | + | |
- | + | ||
- | Beispiel für eine Minimal-Konfiguration unter Windows (bereitgestellt von Thomas Glatzer, Uni Mainz): | + | |
- | + | ||
- | <code apache conf/ | + | |
- | # | + | |
- | # This is the main Apache HTTP server configuration file. It contains the | + | |
- | # configuration directives that give the server its instructions. | + | |
- | # See < | + | |
- | # In particular, see | + | |
- | # < | + | |
- | # for a discussion of each configuration directive. | + | |
- | # | + | |
- | + | ||
- | # ServerRoot: The top of the directory tree under which the server' | + | |
- | # configuration, | + | |
- | # | + | |
- | # Do not add a slash at the end of the directory path. If you point | + | |
- | # ServerRoot at a non-local disk, be sure to specify a local disk on the | + | |
- | # Mutex directive, if file-based mutexes are used. If you wish to share the | + | |
- | # same ServerRoot for multiple httpd daemons, you will need to change at | + | |
- | # least PidFile. | + | |
- | # | + | |
- | ServerRoot " | + | |
- | + | ||
- | + | ||
- | # | + | |
- | # Dynamic Shared Object (DSO) Support | + | |
- | # | + | |
- | LoadModule authn_core_module modules/ | + | |
- | LoadModule authz_core_module modules/ | + | |
- | + | ||
- | LoadModule headers_module modules/ | + | |
- | LoadModule reqtimeout_module modules/ | + | |
- | LoadModule log_config_module modules/ | + | |
- | LoadModule mime_module modules/ | + | |
- | + | ||
- | LoadModule proxy_module modules/ | + | |
- | #LoadModule proxy_http_module modules/ | + | |
- | LoadModule proxy_http_module modules/ | + | |
- | + | ||
- | LoadModule ssl_module modules/ | + | |
- | LoadModule socache_shmcb_module modules/ | + | |
- | + | ||
- | # ' | + | |
- | ServerAdmin glatzert@uni-mainz.de | + | |
- | ServerName shib.uni-mainz.de | + | |
- | + | ||
- | # | + | |
- | # Deny access to the entirety of your server' | + | |
- | # explicitly permit access to web content directories in other | + | |
- | # < | + | |
- | # | + | |
- | < | + | |
- | AllowOverride none | + | |
- | Require all denied | + | |
- | </ | + | |
- | + | ||
- | DocumentRoot " | + | |
- | < | + | |
- | Options None | + | |
- | + | ||
- | AllowOverride None | + | |
- | Require all granted | + | |
- | </ | + | |
- | + | ||
- | <Files " | + | |
- | Require all denied | + | |
- | </ | + | |
- | + | ||
- | ErrorLog " | + | |
- | TransferLog " | + | |
- | LogLevel warn | + | |
- | + | ||
- | < | + | |
- | TypesConfig conf/ | + | |
- | + | ||
- | AddType application/ | + | |
- | AddType application/ | + | |
- | </ | + | |
- | + | ||
- | Include conf/ | + | |
- | Include conf/ | + | |
- | Include conf/ | + | |
- | </ | + | |
- | <code apache conf/ | + | |
- | ## | + | |
- | ## SSL Global Context | + | |
- | ## | + | |
- | ## All SSL configuration in this context applies both to | + | |
- | ## the main server and all SSL-enabled virtual hosts. | + | |
- | ## | + | |
- | + | ||
- | # | + | |
- | # Some MIME-types for downloading Certificates and CRLs | + | |
- | # | + | |
- | AddType application/ | + | |
- | AddType application/ | + | |
- | + | ||
- | SSLRandomSeed startup builtin | + | |
- | SSLRandomSeed connect builtin | + | |
- | + | ||
- | SSLProtocol All -SSLv3 | + | |
- | SSLCipherSuite ECDH+AESGCM: | + | |
- | SSLHonorCipherOrder On | + | |
- | + | ||
- | SSLUseStapling off | + | |
- | SSLStaplingCache " | + | |
- | SSLStaplingReturnResponderErrors off | + | |
- | + | ||
- | SSLSessionCache " | + | |
- | SSLSessionCacheTimeout | + | |
- | + | ||
- | SSLCertificateFile " | + | |
- | SSLCertificateKeyFile " | + | |
- | </ | + | |
- | <code apache conf/ | + | |
- | ################################################ | + | |
- | # | + | |
- | # SingleSignOnService | + | |
- | # | + | |
- | + | ||
- | Listen 443 | + | |
- | + | ||
- | < | + | |
- | DocumentRoot " | + | |
- | ServerAdmin glatzert@uni-mainz.de | + | |
- | + | ||
- | SSLEngine on | + | |
- | Header add Strict-Transport-Security " | + | |
- | + | ||
- | <Proxy http:// | + | |
- | Require all granted | + | |
- | </ | + | |
- | ProxyPass /idp/ http:// | + | |
- | </ | + | |
- | + | ||
- | ################################################ | + | |
- | # | + | |
- | # ArtifactResolutionService und AttributeService | + | |
- | # | + | |
- | + | ||
- | Listen 8443 | + | |
- | + | ||
- | < | + | |
- | DocumentRoot " | + | |
- | ServerAdmin glatzert@uni-mainz.de | + | |
- | + | ||
- | SSLEngine on | + | |
- | Header add Strict-Transport-Security " | + | |
- | + | ||
- | <Proxy http:// | + | |
- | Require all granted | + | |
- | </ | + | |
- | ProxyPass /idp/ http:// | + | |
- | </ | + | |
- | </ | + | |
- | <code apache conf/ | + | |
- | # https:// | + | |
- | + | ||
- | LoadModule mod_shib C:/ | + | |
- | + | ||
- | < | + | |
- | AuthType None | + | |
- | Require all granted | + | |
- | </ | + | |
- | + | ||
- | < | + | |
- | AuthType shibboleth | + | |
- | ShibRequestSetting requireSession 1 | + | |
- | Require shibboleth | + | |
- | </ | + | |
- | </ | + | |
- | + | ||
- | =====SQL DBMS===== | + | |
- | Optional, um die Informationen zu User Consent (ehemals uApprove) und persistentId dauerhaft zu speichern. Siehe [[de: | + | |
- | + | ||
- | ====MySQL==== | + | |
- | + | ||
- | ===Debian 8=== | + | |
- | <code bash> | + | |
- | root@idp:~# apt-get install mysql-server mysql-client libmysql-java | + | |
- | </ | + | |
- | + | ||
- | Damit der Tomcat die MySQL-Java-Library beim Starten einliest (damit der IdP sie dann verwenden kann) wird | + | |
- | diese üblicherweise in / | + | |
- | + | ||
- | <code bash> | + | |
- | root@idp:~# mkdir -p / | + | |
- | root@idp:~# ln -s / | + | |
- | root@idp:~# systemctl restart tomcat8 | + | |
- | </ | + | |
- | + | ||
- | ====PostgreSQL==== | + | |
- | + | ||
- | Siehe hierzu einstweilen die [[https:// | + | |
- | Hierzu jedenfalls die entsprechende Java JDBC Komponente installieren (Debian/ | + | |
- | <code bash> | + | |
- | root@idp: | + | |
- | </ | + | |
- | ===RHEL=== | + | |
- | <code bash> | + | |
- | yum install postgresql-server postgresql | + | |
- | </ | + | |
- | =====Servlet Container===== | + | |
- | ====Tomcat 8===== | + | |
- | ===CentOS 7=== | + | |
- | Siehe https:// | + | |
- | ===Debian 8=== | + | |
- | Die Tomcat-Version in Debian 8 leidet unter einem Bug, der in der Backports-Version behoben wurde. Wir empfehlen daher die Installation aus den Backports: | + | |
- | <code bash> | + | |
- | root@idp:~# apt-get install -t jessie-backports tomcat8 tomcat8-admin \ | + | |
- | | + | |
- | </ | + | |
- | Der IdP läuft als Teil von Tomcat natürlich auch mit der Unix-ID des Tomcat-Users. Sofern Sie SSL-Credentials (RSA-Private- und Public-Key) - wie unter Debian/ | + | |
- | <code bash> | + | |
- | root@idp:~# usermod -aG ssl-cert tomcat8 | + | |
- | </ | + | |
- | Einige globale Java-Parameter müssen beim Tomcat-Start festgelegt werden. Das IdP-Servlet braucht Zugriff auf das Filesystem und benötigt mehr Speicher, als gemäß den Voreinstellungen vorgesehen ist. Weiterhin lohnt es sich, den Tomcat-Start durch einige zusätzliche Maßnahmen zu beschleunigen, | + | |
- | <file bash / | + | |
- | JAVA_OPTS=" | + | |
- | </ | + | |
- | + | ||
- | Anmerkungen: | + | |
- | * Sofern Ihr IdP nicht unter / | + | |
- | Die Liste der " | + | |
- | <file properties / | + | |
- | # falls MySQL inklusive libmysql-java installiert wurde (s.o.), die Pfade entsprechend ergänzen, bei Postgres JDBC Treiber analog verfahren: | + | |
- | common.loader=" | + | |
- | # [...] | + | |
- | # Beschleunigung des Tomcat-Starts: | + | |
- | tomcat.util.scan.StandardJarScanFilter.jarsToSkip=\ | + | |
- | activation-1.1.jar, | + | |
- | antlr-2.7.7.jar, | + | |
- | aopalliance-1.0.jar, | + | |
- | bcprov-jdk15on-1.51.jar, | + | |
- | c3p0-0.9.2.1.jar, | + | |
- | commons-codec-1.10.jar, | + | |
- | commons-collections-3.2.1.jar, | + | |
- | commons-compiler-2.7.8.jar, | + | |
- | commons-lang-2.4.jar, | + | |
- | cryptacular-1.0.jar, | + | |
- | dom4j-1.6.1.jar, | + | |
- | guava-18.0.jar, | + | |
- | hibernate-commons-annotations-4.0.4.Final.jar, | + | |
- | hibernate-core-4.3.5.Final.jar, | + | |
- | hibernate-entitymanager-4.3.5.Final.jar, | + | |
- | hibernate-jpa-2.1-api-1.0.0.Final.jar, | + | |
- | httpclient-4.3.6.jar, | + | |
- | httpclient-cache-4.3.6.jar, | + | |
- | httpcore-4.3.3.jar, | + | |
- | idp-attribute-api-3.1.1.jar, | + | |
- | idp-attribute-filter-api-3.1.1.jar, | + | |
- | idp-attribute-filter-impl-3.1.1.jar, | + | |
- | idp-attribute-filter-spring-3.1.1.jar, | + | |
- | idp-attribute-resolver-api-3.1.1.jar, | + | |
- | idp-attribute-resolver-impl-3.1.1.jar, | + | |
- | idp-attribute-resolver-spring-3.1.1.jar, | + | |
- | idp-authn-api-3.1.1.jar, | + | |
- | idp-authn-impl-3.1.1.jar, | + | |
- | idp-cas-api-3.1.1.jar, | + | |
- | idp-cas-impl-3.1.1.jar, | + | |
- | idp-consent-3.1.1.jar, | + | |
- | idp-core-3.1.1.jar, | + | |
- | idp-profile-api-3.1.1.jar, | + | |
- | idp-profile-impl-3.1.1.jar, | + | |
- | idp-profile-spring-3.1.1.jar, | + | |
- | idp-saml-api-3.1.1.jar, | + | |
- | idp-saml-impl-3.1.1.jar, | + | |
- | idp-schema-3.1.1.jar, | + | |
- | idp-session-api-3.1.1.jar, | + | |
- | idp-session-impl-3.1.1.jar, | + | |
- | idp-ui-3.1.1.jar, | + | |
- | jandex-1.1.0.Final.jar, | + | |
- | janino-2.7.8.jar, | + | |
- | javassist-3.18.1-GA.jar, | + | |
- | java-support-7.1.1.jar, | + | |
- | javax.json-1.0.4.jar, | + | |
- | javax.json-api-1.0.jar, | + | |
- | jboss-logging-3.1.3.GA.jar, | + | |
- | jboss-logging-annotations-1.2.0.Beta1.jar, | + | |
- | jboss-transaction-api_1.2_spec-1.0.0.Final.jar, | + | |
- | jcl-over-slf4j-1.7.10.jar, | + | |
- | jcommander-1.47.jar, | + | |
- | joda-time-2.7.jar, | + | |
- | jsr305-3.0.0.jar, | + | |
- | ldaptive-1.0.6.jar, | + | |
- | logback-classic-1.1.2.jar, | + | |
- | logback-core-1.1.2.jar, | + | |
- | mail-1.4.7.jar, | + | |
- | mchange-commons-java-0.2.3.4.jar, | + | |
- | ognl-2.6.11.jar, | + | |
- | opensaml-core-3.1.1.jar, | + | |
- | opensaml-messaging-api-3.1.1.jar, | + | |
- | opensaml-messaging-impl-3.1.1.jar, | + | |
- | opensaml-profile-api-3.1.1.jar, | + | |
- | opensaml-profile-impl-3.1.1.jar, | + | |
- | opensaml-saml-api-3.1.1.jar, | + | |
- | opensaml-saml-impl-3.1.1.jar, | + | |
- | opensaml-security-api-3.1.1.jar, | + | |
- | opensaml-security-impl-3.1.1.jar, | + | |
- | opensaml-soap-api-3.1.1.jar, | + | |
- | opensaml-soap-impl-3.1.1.jar, | + | |
- | opensaml-storage-api-3.1.1.jar, | + | |
- | opensaml-storage-impl-3.1.1.jar, | + | |
- | opensaml-xmlsec-api-3.1.1.jar, | + | |
- | opensaml-xmlsec-impl-3.1.1.jar, | + | |
- | slf4j-api-1.7.10.jar, | + | |
- | spring-aop-4.1.5.RELEASE.jar, | + | |
- | spring-beans-4.1.5.RELEASE.jar, | + | |
- | spring-binding-2.4.1.RELEASE.jar, | + | |
- | spring-context-4.1.5.RELEASE.jar, | + | |
- | spring-context-support-4.1.5.RELEASE.jar, | + | |
- | spring-core-4.1.5.RELEASE.jar, | + | |
- | spring-expression-4.1.5.RELEASE.jar, | + | |
- | spring-extensions-5.1.1.jar, | + | |
- | spring-jdbc-4.1.5.RELEASE.jar, | + | |
- | spring-js-2.4.1.RELEASE.jar, | + | |
- | spring-js-resources-2.4.1.RELEASE.jar, | + | |
- | spring-orm-4.1.5.RELEASE.jar, | + | |
- | spring-tx-4.1.5.RELEASE.jar, | + | |
- | spring-web-4.1.5.RELEASE.jar, | + | |
- | spring-webflow-2.4.1.RELEASE.jar, | + | |
- | spring-webmvc-4.1.5.RELEASE.jar, | + | |
- | spymemcached-2.11.4.jar, | + | |
- | stax2-api-3.1.4.jar, | + | |
- | stax-api-1.0-2.jar, | + | |
- | velocity-1.7.jar, | + | |
- | woodstox-core-asl-4.4.1.jar, | + | |
- | xml-apis-1.0.b2.jar, | + | |
- | xmlsec-2.0.3.jar | + | |
- | </ | + | |
- | + | ||
- | In server.xml | + | |
- | + | ||
- | * aus Sicherheitsgründen den Default-Port 8080 abschalten | + | |
- | * auf Port 2009 den AJP-Connector aktivieren über den der Webserver Anfragen weiterleitet | + | |
- | + | ||
- | <file xml / | + | |
- | <Server port=" | + | |
- | < | + | |
- | <Service name=" | + | |
- | <!-- ... --> | + | |
- | <!-- non-SSL/TLS HTTP/1.1 Connector on port 8080 abschalten --> | + | |
- | <!-- < | + | |
- | | + | |
- | | + | |
- | <!-- ... --> | + | |
- | <!-- Define an AJP 1.3 Connector on port 8009 --> | + | |
- | < | + | |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | <!-- ... --> | + | |
- | </ | + | |
- | <!-- ... --> | + | |
- | </ | + | |
- | </ | + | |
- | Außerdem (" | + | |
- | <file xml / | + | |
- | < | + | |
- | <!-- ... --> | + | |
- | <!-- Uncomment this to disable session persistence across Tomcat restarts --> | + | |
- | <Manager pathname="" | + | |
- | <!-- ...--> | + | |
- | </ | + | |
- | </ | + | |
- | Um das IdP-Servlet in Tomcat zu aktivieren, erstellen Sie folgende Datei im Tomcat-localhost-Context: | + | |
- | <code xml / | + | |
- | <Context docBase="/ | + | |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | </ | + | |
- | + | ||
- | Als letztes muss noch die Java Server Tag Libarary heruntergeladen und in das Tomcat-Verzeichnis $CATALINA_BASE/ | + | |
- | + | ||
- | <code bash> | + | |
- | root@idp:~# cd / | + | |
- | root@idp:/ | + | |
- | root@idp:/ | + | |
- | </ | + | |
- | + | ||
- | + | ||
- | + | ||
- | ====Tomcat 7===== | + | |
- | + | ||
- | Wir empfehlen Tomcat8, siehe oben. Falls Sie noch Tomcat7 einsetzen ist das folgende vielleicht hilfreich: | + | |
- | + | ||
- | Sollte es beim Neustart nach Installation und Konfiguration des IdP folgender Fehlermeldung kommen:\\ | + | |
- | > " | + | |
- | ... so muss die Tomcat-eigene web.xml angepasst werden. Siehe hierzu http:// | + | |
- | Bei Debian/ | + | |
- | + | ||
- | ===RHEL=== | + | |
- | EPEL installieren | + | |
- | + | ||
- | RHEL/CentOS 6 32-Bit | + | |
- | <code bash> | + | |
- | wget http:// | + | |
- | rpm -ivh epel-release-6-8.noarch.rpm | + | |
- | </ | + | |
- | RHEL/CentOS 6 64-Bit | + | |
- | <code bash> | + | |
- | wget http:// | + | |
- | rpm -ivh epel-release-6-8.noarch.rpm | + | |
- | </ | + | |
- | EPEL verifizieren | + | |
- | <code bash> | + | |
- | yum repolist | + | |
- | </ | + | |
- | EPEL aktivieren | + | |
- | <code bash> | + | |
- | yum-config-manager --enable epel | + | |
- | </ | + | |
- | <code bash> | + | |
- | yum install tomcat | + | |
- | </ | + | |
- | =====Kleinkram===== | + | |
- | ====Debian 8==== | + | |
- | Um die Signatur der Föderationsmetadaten validieren zu können müssen Sie das entsprechende Zertfikat von [[https:// | + | |
- | <code bash> | + | |
- | root@idp:~# mkdir / | + | |
- | root@idp:~# cd / | + | |
- | root@idp:~# wget https:// | + | |
- | </ | + | |
- | Falls noch nicht geschehen, OpenSSL installieren (um später Zertifkat auf dem System verwalten zu können): | + | |
- | <code bash> | + | |
- | root@idp:~# apt-get install openssl | + | |
- | </ | + | |
- | Wer keine Lust hat, später bei jedem install JAVA_HOME neu zu setzen, kann dies auch im jeweiligen home Verzeichnis in .bashrc definieren: | + | |
- | <file bash / | + | |
- | # ... | + | |
- | export JAVA_HOME=/ | + | |
- | </ | + | |
- | (oder für alle User in / | + | |
- | + | ||
- | =====Shibboleth Identity Provider===== | + | |
- | ====Debian 8==== | + | |
- | Shib IdP herunterladen, | + | |
- | <code bash> | + | |
- | root@idp:~# mkdir / | + | |
- | root@idp:~# cd / | + | |
- | root@idp:~# wget http:// | + | |
- | root@idp:~# wget http:// | + | |
- | root@idp:~# wget https:// | + | |
- | root@idp:~# gpg --import PGP_KEYS | + | |
- | root@idp:~# gpg --verify shibboleth-identity-provider-3.x.x.zip.asc shibboleth-identity-provider-3.x.x.zip | + | |
- | root@idp:~# unzip shibboleth-identity-provider-3.x.x.zip | + | |
- | </ | + | |
- | Falls geplant ist, mehrere IdPs parallel zu betreiben, empfiehlt es sich, pro Instanz ein eigenes Installations-Quell-Verzeichnis anzulegen: | + | |
- | <code bash> | + | |
- | root@idp:~# cp -ar shibboleth-identity-provider-3.x.x shibboleth-identity-provider-3.x.x-idp.uni-beispiel.de | + | |
- | </ | + | |
- | **Vor Installation und Konfiguration lohnt sich ein Blick auf die [[https:// | ||
- | Weiter | + | Nach dem abarbeiten obiger Punkte |