Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:shibidp3sealer [2017/02/28 15:44]
Raoul Gunnar Borenius
de:shibidp3sealer [2019/08/15 11:48] (aktuell)
Wolfgang Pempe
Zeile 1: Zeile 1:
 ====== Secret Key Management ====== ====== Secret Key Management ======
  
-Der IdP sicher ​Cookies und andere flüchtige ​Daten per Verschlüsselung. ​Die bei dieser Verschlüsselung zur Anwendung kommenden Schlüssel ​sollten ​aus Sicherheitsgründen ​regelmässig ​erneuert werden.+In der Standardeinstellung speichert der Shibboleth ​IdP Informationen zur Sitzung, User Consent etc. client-seitig (im Browser) in Cookies und ggf. HTML Local Storage, siehe hierzu die [[https://​wiki.shibboleth.net/​confluence/​display/​IDP30/​StorageConfiguration#​StorageConfiguration-ClientStorageService|Dokumentation im Shibboleth Wiki]]. Diese Daten werden durch Verschlüsselung ​geschützt\\ Sofern die o.g. Informationen **nicht** in einer [[de:​shibidp3storage#​session-informationen_und_user_consent_in_db_ablegen|IdP-seitigen Datenbank]] abgelegt werden, sollten die bei dieser Verschlüsselung zur Anwendung kommenden Schlüssel ​(Keys) ​aus Sicherheitsgründen ​regelmäßig ​erneuert werden. \\ Ansonsten können Sie diesen Schritt überspringen.
  
-Laden Sie unser Beispiel-Script herunter und legen es nach+Laden Sie das [[de:​update-sealer-example|Beispiel-Script]] herunter und legen es nach
  
 <​code>​ <​code>​
Zeile 19: Zeile 19:
  
 <file cron /​etc/​cron.d/​shibboleth-idp>​ <file cron /​etc/​cron.d/​shibboleth-idp>​
-JAVA_HOME=/​usr 
 01 01 * * * root /​opt/​shibboleth-idp/​bin/​update-sealer.sh >/​dev/​null 01 01 * * * root /​opt/​shibboleth-idp/​bin/​update-sealer.sh >/​dev/​null
 </​file>​ </​file>​
 +
 +Hinweis: falls Sie bei der IdP-Installation am Anfang ein zu einfaches Sealer-Passwort vergeben haben
 +können Sie dieses problemlos ändern indem Sie die Dateien ./​credentials/​sealer.* löschen und in
 +./​conf/​idp.properties neue Passwörter (idp.sealer.storePassword und idp.sealer.keyPassword) vergeben.
 +Danach rufen Sie einfach obigen Cron-Job manuell auf, das Script erstellt die fehlenden Dateien unter
 +Verwendung der neuen Passwörter wieder neu. Achten Sie nur darauf dass Sie beim Passwort keine Sonderzeichen verwenden da diese erfahrungsgemäß in Java-properties-Dateien Probleme machen können.
 +
 +Referenz zum Shib-Wiki: https://​wiki.shibboleth.net/​confluence/​display/​IDP30/​SecretKeyManagement
 +
 +=== Aufnahme in DFN-AAI-Produktivumgebung ===
 +Die Basis-Konfiguration des IdPs ist damit abgeschlossen. Für die Inbetriebnahme des IdP beachten Sie bitte die Hinweise und Empfehlungen unter [[de:​production|Produktivbetrieb]].
  
 ** Weiter geht es mit den [[de:​shibidp3attributes|Attribut-Konfigurationen in der DFN-AAI]] ** ** Weiter geht es mit den [[de:​shibidp3attributes|Attribut-Konfigurationen in der DFN-AAI]] **
  • Zuletzt geändert: vor 3 Jahren