Dies ist eine alte Version des Dokuments!


Secret Key Management

Der IdP sicher Cookies und andere flüchtige Daten per Verschlüsselung. Die bei dieser Verschlüsselung zur Anwendung kommenden Schlüssel sollten aus Sicherheitsgründen regelmäßig erneuert werden.

Laden Sie das Beispiel-Script herunter und legen es nach

/opt/shibboleth-idp/bin/update-sealer.sh

Vergessen Sie nicht das Script ausführbar zu machen:

root@idp:~# chmod 755 /opt/shibboleth-idp/bin/update-sealer.sh

Dieses Script liest die Sealer-relevanten Einstellungen aus ./conf/idp-properties und erzeugt damit neue Schlüsselwerte. Dazu legen Sie am besten einen täglichen Cron-Job an:

/etc/cron.d/shibboleth-idp
01 01 * * * root /opt/shibboleth-idp/bin/update-sealer.sh >/dev/null

Hinweis: falls Sie bei der IdP-Installation am Anfang ein zu einfaches Sealer-Passwort vergeben haben können Sie dieses problemlos ändern indem Sie die Dateien ./credentials/sealer.* löschen und in ./conf/idp.properties neue Passwörter (idp.sealer.storePassword und idp.sealer.keyPassword) vergeben. Danach rufen Sie einfach obigen Cron-Job manuell auf, das Script erstellt die fehlenden Dateien unter Verwendung der neuen Passwörter wieder neu. Achten Sie nur darauf dass Sie beim Passwort keine Sonderzeichen verwenden da diese erfahrungsgemäß in Java-properties-Dateien Probleme machen können.

Referenz zum Shib-Wiki: https://wiki.shibboleth.net/confluence/display/IDP30/SecretKeyManagement

Aufnahme in DFN-AAI-Produktivumgebung

Die Basis-Konfiguration des IdPs ist damit abgeschlossen. Jetzt können Sie den IdP über die Metadatenverwaltung in die Produktivumgebung der DFN-AAI aufnehmen lassen indem Sie

  • auf der „Edit“-Seite des IdP in der letzten Tabelle („Föderationen“) den Produktivbetrieb anklicken.
  • das Kästchen bei „DFN-AAI-Test“ entfernen. Prinzipiell könnte der IdP weiter in der DFN-AAI-test bleiben, wir empfehlen aber stattdessen ein dauerhaftes Entwicklungs-System zu erstellen und dieses dauerhaft in der DFN-AAI-Test zu belassen. Dieses System sollte identisch zum Produktivsystem sein (also auch auf das gleiche IdM-System zugreifen) damit Sie dort Configurations- und Versions-Änderungen testen können bevor Sie diese auf dem Produktiven vornehmen.
  • warten bis von uns die Rückmeldung kommt dass Ihr IdP produktiv geschaltet wurde.

Weiter geht es mit den Attribut-Konfigurationen in der DFN-AAI

  • Zuletzt geändert: vor 3 Jahren