Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:shibidp3sealer [2020/04/16 09:01] Silke Meyerde:shibidp3sealer [2021/05/03 13:51] (aktuell) – veralteten Inhalt gelöscht Silke Meyer
Zeile 1: Zeile 1:
-====== Secret Key Management ====== 
  
-In der Standardeinstellung speichert der Shibboleth IdP Informationen zur Sitzung, User Consent etc. client-seitig (im Browser) in Cookies und ggf. HTML Local Storage, siehe hierzu die [[https://wiki.shibboleth.net/confluence/display/IDP30/StorageConfiguration#StorageConfiguration-ClientStorageService|Dokumentation im Shibboleth Wiki]]. Diese Daten werden durch Verschlüsselung geschützt. \\ Sofern die o.g. Informationen **nicht** in einer [[de:shibidp3storage#session-informationen_und_user_consent_in_db_ablegen|IdP-seitigen Datenbank]] abgelegt werden, sollten die bei dieser Verschlüsselung zur Anwendung kommenden Schlüssel (Keys) aus Sicherheitsgründen regelmäßig erneuert werden. \\ Ansonsten können Sie diesen Schritt überspringen. 
- 
-Laden Sie das [[de:update-sealer-example|Beispiel-Script]] herunter und legen es nach 
- 
-<code> 
-/opt/shibboleth-idp/bin/update-sealer.sh 
-</code> 
- 
-Vergessen Sie nicht das Script ausführbar zu machen: 
- 
-<code sh> 
-root@idp:~# chmod 755 /opt/shibboleth-idp/bin/update-sealer.sh 
-</code> 
- 
-Dieses Script liest die Sealer-relevanten Einstellungen aus ./conf/idp-properties und 
-erzeugt damit neue Schlüsselwerte. Dazu legen Sie am besten einen täglichen Cron-Job an: 
- 
-<file cron /etc/cron.d/shibboleth-idp> 
-01 01 * * * root /opt/shibboleth-idp/bin/update-sealer.sh >/dev/null 
-</file> 
- 
-Hinweis: falls Sie bei der IdP-Installation am Anfang ein zu einfaches Sealer-Passwort vergeben haben 
-können Sie dieses problemlos ändern indem Sie die Dateien ./credentials/sealer.* löschen und in 
-./conf/idp.properties neue Passwörter (idp.sealer.storePassword und idp.sealer.keyPassword) vergeben. 
-Danach rufen Sie einfach obigen Cron-Job manuell auf, das Script erstellt die fehlenden Dateien unter 
-Verwendung der neuen Passwörter wieder neu. Achten Sie nur darauf dass Sie beim Passwort keine Sonderzeichen verwenden da diese erfahrungsgemäß in Java-properties-Dateien Probleme machen können. 
- 
-Referenz zum Shib-Wiki: https://wiki.shibboleth.net/confluence/display/IDP30/SecretKeyManagement 
- 
-=== Aufnahme in DFN-AAI-Produktivumgebung === 
-Die Basis-Konfiguration des IdPs ist damit abgeschlossen. Für die Inbetriebnahme des IdP beachten Sie bitte die Hinweise und Empfehlungen unter [[de:production|Produktivbetrieb]]. 
- 
-** Weiter geht es mit den [[de:shibidp3attributes|Attribut-Konfigurationen in der DFN-AAI]] ** 
- 
-{{tag>idp3}} 
  • Zuletzt geändert: vor 6 Jahren