Dies ist eine alte Version des Dokuments!


Secret Key Management

Der IdP sicher Cookies und andere flüchtige Daten per Verschlüsselung. Die bei dieser Verschlüsselung zur Anwendung kommenden Schlüssel sollten aus Sicherheitsgründen regelmässig erneuert werden.

Laden Sie unser Beispiel-Script herunter und legen es nach

/opt/shibboleth-idp/bin/update-sealer.sh

Vergessen Sie nicht das Script ausführbar zu machen:

root@idp:~# chmod 755 /opt/shibboleth-idp/bin/update-sealer.sh

Dieses Script liest die Sealer-relevanten Einstellungen aus ./conf/idp-properties und erzeugt damit neue Schlüsselwerte. Dazu legen Sie am besten einen täglichen Cron-Job an:

/etc/cron.d/shibboleth-idp
01 01 * * * root /opt/shibboleth-idp/bin/update-sealer.sh >/dev/null

Hinweis: falls Sie bei der IdP-Installation am Anfang ein zu einfaches Sealer-Passwort vergeben haben können Sie dieses problemlos ändern indem Sie die Dateien ./credentials/sealer.* löschen und in ./conf/idp.properties neue Passwörter (idp.sealer.storePassword und idp.sealer.keyPassword) vergeben. Danach rufen Sie einfach obigen Cron-Job manuell auf, das Script erstellt die fehlenden Dateien unter Verwendung der neuen Passwörter wieder neu. Achten Sie nur darauf dass Sie beim Passwort keine Sonderzeichen verwenden da diese erfahrungsgemäss in Java-properties-Dateien Probleme machen können.

Referenz zum Shib-Wiki: https://wiki.shibboleth.net/confluence/display/IDP30/SecretKeyManagement

Weiter geht es mit den Attribut-Konfigurationen in der DFN-AAI

  • Zuletzt geändert: vor 2 Jahren