Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:shibidp3sealer [2017/03/17 16:43] Raoul Gunnar Boreniusde:shibidp3sealer [2021/05/03 13:51] (aktuell) – veralteten Inhalt gelöscht Silke Meyer
Zeile 1: Zeile 1:
-====== Secret Key Management ====== 
  
-Der IdP sichert Cookies und andere flüchtige Daten per Verschlüsselung. Die bei dieser Verschlüsselung zur Anwendung kommenden Schlüssel (Keys) sollten aus Sicherheitsgründen regelmäßig erneuert werden. 
- 
-Laden Sie das [[de:update-sealer-example|Beispiel-Script]] herunter und legen es nach 
- 
-<code> 
-/opt/shibboleth-idp/bin/update-sealer.sh 
-</code> 
- 
-Vergessen Sie nicht das Script ausführbar zu machen: 
- 
-<code sh> 
-root@idp:~# chmod 755 /opt/shibboleth-idp/bin/update-sealer.sh 
-</code> 
- 
-Dieses Script liest die Sealer-relevanten Einstellungen aus ./conf/idp-properties und 
-erzeugt damit neue Schlüsselwerte. Dazu legen Sie am besten einen täglichen Cron-Job an: 
- 
-<file cron /etc/cron.d/shibboleth-idp> 
-01 01 * * * root /opt/shibboleth-idp/bin/update-sealer.sh >/dev/null 
-</file> 
- 
-Hinweis: falls Sie bei der IdP-Installation am Anfang ein zu einfaches Sealer-Passwort vergeben haben 
-können Sie dieses problemlos ändern indem Sie die Dateien ./credentials/sealer.* löschen und in 
-./conf/idp.properties neue Passwörter (idp.sealer.storePassword und idp.sealer.keyPassword) vergeben. 
-Danach rufen Sie einfach obigen Cron-Job manuell auf, das Script erstellt die fehlenden Dateien unter 
-Verwendung der neuen Passwörter wieder neu. Achten Sie nur darauf dass Sie beim Passwort keine Sonderzeichen verwenden da diese erfahrungsgemäß in Java-properties-Dateien Probleme machen können. 
- 
-Referenz zum Shib-Wiki: https://wiki.shibboleth.net/confluence/display/IDP30/SecretKeyManagement 
- 
-=== Aufnahme in DFN-AAI-Produktivumgebung === 
- 
-Die Basis-Konfiguration des IdPs ist damit abgeschlossen. Jetzt können Sie den IdP über die Metadatenverwaltung in die Produktivumgebung der DFN-AAI aufnehmen lassen indem Sie 
- 
-  * auf der "Edit"-Seite des IdP in der letzten Tabelle ("Föderationen") den Produktivbetrieb anklicken. 
-  * das Kästchen bei "DFN-AAI-Test" entfernen. Prinzipiell könnte der IdP weiter in der DFN-AAI-test bleiben, wir empfehlen aber stattdessen ein dauerhaftes Entwicklungs-System zu erstellen und dieses dauerhaft in der DFN-AAI-Test zu belassen. Dieses System sollte identisch zum Produktivsystem sein (also auch auf das gleiche IdM-System zugreifen) damit Sie dort Configurations- und Versions-Änderungen testen können bevor Sie diese auf dem Produktiven vornehmen. 
-  * warten bis von uns die Rückmeldung kommt dass Ihr IdP produktiv geschaltet wurde. 
-** Weiter geht es mit den [[de:shibidp3attributes|Attribut-Konfigurationen in der DFN-AAI]] ** 
  • Zuletzt geändert: vor 7 Jahren