Dies ist eine alte Version des Dokuments!


Systemumgebung, Einrichtung der benötigten Software

NB Bei den Konfigurationsbeispielen bitte nicht die kompletten Dateien mit den Konfigurationsschnipseln ersetzen, i.d.R. handelt es sich nur um Auszüge. Bitte nur die angezeigten Zeilen übernehmen bzw. entsprechend ergänzen!

Für HTTP Server sowie IdP (Signierung, Verschlüsselung) ein Zertifikat erstellen, beim Beantragen bitte das Profil „Shibboleth IdP SP“ auswählen, damit das Zertifikat für alle SAML-Funktionen eingesetzt werden kann. Zur Erstellung eines Zertifikatrequests siehe die FAQ der DFN-PKI.

DB

Um die Signatur der Föderationsmetadaten validieren zu können müssen Sie das entsprechende Zertfikat von DFN-AAI Portal herunterladen und z.B. unter /etc/ssl/aai/dfn-aai.pem ablegen. Der (SHA2) Fingerprint ist unter https://www.aai.dfn.de/teilnahme/metadaten/ dokumentiert

root@idp:~# mkdir /etc/ssl/aai/
root@idp:~# cd /etc/ssl/aai/
root@idp:~# wget https://www.aai.dfn.de/fileadmin/metadata/dfn-aai.pem

Falls noch nicht geschehen, OpenSSL installieren (um später Zertifkat auf dem System verwalten zu können):

root@idp:~# apt-get install openssl

Wer keine Lust hat, später bei jedem install JAVA_HOME neu zu setzen, kann dies auch im jeweiligen home Verzeichnis in .bashrc definieren:

/home/userxy/.bashrc
# ...
export JAVA_HOME=/usr

(oder für alle User in /etc/profile.d/java.sh)

Shib IdP herunterladen, Signatur überprüfen und entpacken. Die aktuelle IdP-Version findet sich stets unter http://shibboleth.net/downloads/identity-provider/latest/

root@idp:~# mkdir /opt/install
root@idp:~# cd /opt/install
root@idp:~# wget http://shibboleth.net/downloads/identity-provider/latest/shibboleth-identity-provider-3.x.x.zip
root@idp:~# wget http://shibboleth.net/downloads/identity-provider/latest/shibboleth-identity-provider-3.x.x.zip.asc
root@idp:~# wget https://shibboleth.net/downloads/PGP_KEYS
root@idp:~# gpg --import PGP_KEYS
root@idp:~# gpg --verify shibboleth-identity-provider-3.x.x.zip.asc shibboleth-identity-provider-3.x.x.zip
root@idp:~# unzip shibboleth-identity-provider-3.x.x.zip

Falls geplant ist, mehrere IdPs parallel zu betreiben, empfiehlt es sich, pro Instanz ein eigenes Installations-Quell-Verzeichnis anzulegen:

root@idp:~# cp -ar shibboleth-identity-provider-3.x.x shibboleth-identity-provider-3.x.x-idp.uni-beispiel.de

Vor Installation und Konfiguration lohnt sich ein Blick auf die Release Notes

Weiter geht es mit der Installation.

  • Zuletzt geändert: vor 4 Jahren