Dies ist eine alte Version des Dokuments!

Secret Key Management

Der IdP sicher Cookies und andere flüchtige Daten per Verschlüsselung. Die bei dieser Verschlüsselung zur Anwendung kommenden Schlüssel sollten aus Sicherheitsgründen regelmässig erneuert werden.

Laden Sie unser Beispiel-Script herunter und legen es nach 

/opt/shibboleth-idp/bin/update-sealer.sh

Vergessen Sie nicht das Script ausführbar zu machen: 

root@idp:~# chmod 755 /opt/shibboleth-idp/bin/update-sealer.sh

Dieses Script liest die Sealer-relevanten Einstellungen aus ./conf/idp-properties und erzeugt damit neue Schlüsselwerte. Dazu legen Sie am besten einen täglichen Cron-Job an:

/etc/cron.d/shibboleth-idp
01 01 * * * root /opt/shibboleth-idp/bin/update-sealer.sh >/dev/null

Hinweis: falls Sie bei der IdP-Installation am Anfang ein zu einfaches Sealer-Passwort vergeben haben können Sie dieses problemlos ändern indem Sie die Dateien ./credentials/sealer.* löschen und in ./conf/idp.properties neue Passwörter (idp.sealer.storePassword und idp.sealer.keyPassword) vergeben. Danach rufen Sie einfach obigen Cron-Job manuell auf, das Script erstellt die fehlenden Dateien unter Verwendung der neuen Passwörter wieder neu. Achten Sie nur darauf dass Sie beim Passwort keine Sonderzeichen verwenden da diese erfahrungsgemäß in Java-properties-Dateien Probleme machen können.

Referenz zum Shib-Wiki: https://wiki.shibboleth.net/confluence/display/IDP30/SecretKeyManagement

Aufnahme in DFN-AAI-Produktivumgebung

Die Basis-Konfiguration des IdPs ist damit abgeschlossen. Jetzt können Sie den IdP über die Metadatenverwaltung in die Produktivumgebung der DFN-AAI aufnehmen lassen indem Sie

  • auf der „Edit“-Seite des IdP in der letzten Tabelle („Föderationen“) den Produktivbetrieb anklicken.
  • das Kästchen bei „DFN-AAI-Test“ weiter aktiv lassen. Der IdP kann problemlos gleichzeitig im Produktiv- und Testbereich aktiv sein. Sie behalten damit die Möglichkeit neue Attribut-Konfigurationen mithilfe unserer Test-SPs zu überprüfen.
  • warten bis von uns die Rückmeldung kommt dass Ihr IdP produktiv geschaltet wurde.

Weiter geht es mit den Attribut-Konfigurationen in der DFN-AAI

  • Zuletzt geändert: vor 7 Jahren