Dies ist eine alte Version des Dokuments!


Secret Key Management

In der Standardeinstellung speichert der Shibboleth IdP Informationen zur Sitzung, User Consent etc. client-seitig (im Browser) in Cookies und ggf. HTML Local Storage, siehe hierzu die Dokumentation im Shibboleth Wiki. Diese Daten werden durch Verschlüsselung geschützt. Sofern die o.g. Informationen nicht in einer IdP-seitigen Datenbank abgelegt werden, sollten die bei dieser Verschlüsselung zur Anwendung kommenden Schlüssel (Keys) aus Sicherheitsgründen regelmäßig erneuert werden.

Laden Sie das Beispiel-Script herunter und legen es nach

/opt/shibboleth-idp/bin/update-sealer.sh

Vergessen Sie nicht das Script ausführbar zu machen:

root@idp:~# chmod 755 /opt/shibboleth-idp/bin/update-sealer.sh

Dieses Script liest die Sealer-relevanten Einstellungen aus ./conf/idp-properties und erzeugt damit neue Schlüsselwerte. Dazu legen Sie am besten einen täglichen Cron-Job an:

/etc/cron.d/shibboleth-idp
01 01 * * * root /opt/shibboleth-idp/bin/update-sealer.sh >/dev/null

Hinweis: falls Sie bei der IdP-Installation am Anfang ein zu einfaches Sealer-Passwort vergeben haben können Sie dieses problemlos ändern indem Sie die Dateien ./credentials/sealer.* löschen und in ./conf/idp.properties neue Passwörter (idp.sealer.storePassword und idp.sealer.keyPassword) vergeben. Danach rufen Sie einfach obigen Cron-Job manuell auf, das Script erstellt die fehlenden Dateien unter Verwendung der neuen Passwörter wieder neu. Achten Sie nur darauf dass Sie beim Passwort keine Sonderzeichen verwenden da diese erfahrungsgemäß in Java-properties-Dateien Probleme machen können.

Referenz zum Shib-Wiki: https://wiki.shibboleth.net/confluence/display/IDP30/SecretKeyManagement

Aufnahme in DFN-AAI-Produktivumgebung

Die Basis-Konfiguration des IdPs ist damit abgeschlossen. Für die Inbetriebnahme des IdP beachten Sie bitte die Hinweise und Empfehlungen unter Produktivbetrieb.

Weiter geht es mit den Attribut-Konfigurationen in der DFN-AAI

  • Zuletzt geändert: vor 6 Jahren