Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung | Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:shibidp3spspecials [2017/02/22 09:03] – [SpringerLink (https://fsso.springer.com)] Raoul Gunnar Borenius | de:shibidp3spspecials [2017/03/24 11:18] – Raoul Gunnar Borenius | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
===== Spezielle SP Konfigurationen ====== | ===== Spezielle SP Konfigurationen ====== | ||
- | |||
==== SpringerLink (https:// | ==== SpringerLink (https:// | ||
Zeile 44: | Zeile 43: | ||
Siehe hierzu auch die Dokumentation im [[https:// | Siehe hierzu auch die Dokumentation im [[https:// | ||
+ | |||
+ | ===== ECP für BWSync& | ||
+ | |||
+ | Die Im Moment gängigen BW-Sync& | ||
+ | mitbringt leider nicht zurecht. Der ECP-Endpunkt muss für diese Clients noch explizit mit Basic-Auth geschützt | ||
+ | werden. Dies kann mithilfe von Apache oder Tomcat gemacht werden, wobei die Apache variante aus unserer Sicht | ||
+ | deutlich simpler ist: | ||
+ | |||
+ | ==== Basic-Auth mithilfe von Apache ==== | ||
+ | |||
+ | ECP-Endpoint per Basic-Auth schützen: | ||
+ | |||
+ | <file html / | ||
+ | LDAPTrustedGlobalCert CA_BASE64 / | ||
+ | < | ||
+ | ServerName | ||
+ | ... | ||
+ | | ||
+ | # ECP-Config für Sync& | ||
+ | < | ||
+ | AuthType Basic | ||
+ | AuthName " | ||
+ | AuthBasicProvider ldap | ||
+ | AuthLDAPURL " | ||
+ | AuthLDAPBindDN " | ||
+ | AuthLDAPBindPassword " | ||
+ | Require valid-user | ||
+ | </ | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | Authentifizierung per LDAP im Apache aktivieren: | ||
+ | |||
+ | <code bash> | ||
+ | root@idp:~# a2enmod authnz_ldap | ||
+ | root@idp:~# systemctl reload apache2 | ||
+ | </ | ||
+ | |||
+ | Da dieser Endpunkt weltweit erreichbar sein muss können hier auch Brute-Force-Passwort-Angriffe auftreten. | ||
+ | Diesen sollten ebenfalls mithilfe von fail2ban begegnet werden, siehe die fail2ban-Seite in diesem Wiki. | ||
+ | |||
+ | |||
+ | ==== Alternativ: Basic-Auth mithilfe von Tomcat (nicht mehr empfohlen da die Apache-Variante einfacher ist) ==== | ||
+ | |||
+ | **1. web.xml** (unter / | ||
+ | Die beiden Blöcke am Ende ent-kommentieren: | ||
+ | authentication" | ||
+ | |||
+ | **2. Context Fragment in Tomcat-Konfiguration anpassen.** \\ | ||
+ | Das sieht dann ungefähr so aus (appName, Pfade etc. ggf. anpassen): | ||
+ | |||
+ | <file xml / | ||
+ | <Context docBase="/ | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | <Realm className=" | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | **3. Tomcat den Pfad zur JAAS login.config als Startparameter mitgeben** (unter Debian in | ||
+ | / | ||
+ | |||
+ | <file bash / | ||
+ | JAVA_OPTS=" | ||
+ | ..." | ||
+ | </ | ||
+ | |||
+ | **4. / | ||
+ | |||
+ | ** ACHTUNG: die Java-Klasse ist eine andere als bei der gewohnten login.config des IdP 2.x !!** | ||
+ | |||
+ | <file javascript / | ||
+ | ShibUserPassAuth { | ||
+ | | ||
+ | ldapUrl=" | ||
+ | ssl=" | ||
+ | bindDn=" | ||
+ | bindCredential=" | ||
+ | baseDn=" | ||
+ | userFilter=" | ||
+ | logCredentials=" | ||
+ | ; | ||
+ | }; | ||
+ | </ | ||
+ | |||
==== Power Folder (Sync& | ==== Power Folder (Sync& |