Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:shibidp3upgrade [2019/08/13 13:25] – Silke Meyer | de:shibidp3upgrade [2019/08/28 16:49] – [Betriebssystem-Upgrade auf Debian 10] Silke Meyer | ||
---|---|---|---|
Zeile 2: | Zeile 2: | ||
======Upgrade====== | ======Upgrade====== | ||
{{INLINETOC 2}} | {{INLINETOC 2}} | ||
- | ===== Migration 2.x --> | + | ===== Migration |
- | Ein [[https:// | + | Ein [[https:// |
- | Um Ihren IdP 2.x in der DFN-AAI auf 3.x zu migrieren, empfehlen wir daher folgende Vorgehensweise in der beide IdP-Versionen während der Migration parallel betrieben werden: | + | Um Ihren IdP 2.x in der DFN-AAI |
+ | ==== Schritt 1: Testsystem aufsetzen ==== | ||
* Lassen Sie den produktiven IdP 2.x zunächst unverändert weiter laufen. | * Lassen Sie den produktiven IdP 2.x zunächst unverändert weiter laufen. | ||
- | * Installieren Sie den IdP 3.x auf einem (neuen) Testsystem von Grund auf wie in diesem Wiki beschrieben. | + | * Installieren Sie den aktuellsten |
* Testen Sie damit ausführlich in der DFN-AAI-Test, | * Testen Sie damit ausführlich in der DFN-AAI-Test, | ||
- | * Konfigurieren Sie '' | + | * Konfigurieren Sie '' |
- | * Migrieren Sie die **bestehende persistentId-Datenbank** vom IdP 2.x auf die Testinstallation und verifizieren Sie, dass die IDs unverändert geblieben sind. | + | * **Bitte bauen Sie in diesem Zuge auch die Syntax von '' |
- | * Achten Sie hierbei darauf, dass Quellattribut(e) und Salt gleich bleiben! | + | * Übrigens gibt es in der DFN-AAI keine SPs mehr, die ausschließlich den veralteten SAML1-Standard sprechen. Daher können Sie aus der '' |
- | * Installieren Sie den IdP 3.x so auf einem neuen Produktivsystem, | + | < |
- | * Die entityID des IdP 3.x entspricht damit der des IdP 2.x. | + | * **Migrieren Sie die bestehende persistentId-Datenbank** vom IdP 2.x auf die Testinstallation und verifizieren Sie, dass die IDs unverändert geblieben sind. Achten Sie hierbei darauf, dass Quellattribut(e) und Salt gleich bleiben! |
+ | | ||
+ | ==== Schritt 2: Neues Produktivsystem vorbereiten ==== | ||
+ | * **Installieren Sie den IdP 3.4.x so auf einem neuen Produktivsystem, | ||
+ | * Die entityID des IdP 3.4.x entspricht damit der des IdP 2.x. | ||
* Die Kommunikations-URLs in den Metadaten bleiben unverändert. | * Die Kommunikations-URLs in den Metadaten bleiben unverändert. | ||
- | * Ersetzen Sie auf dem IdP 3.x die automatisch generierten private-Key- und Zertifikatsdateien durch die entsprechenden Dateien vom IdP 2.x. | + | * Ersetzen Sie auf dem IdP 3.4.x die automatisch generierten private-Key- und Zertifikatsdateien durch die entsprechenden Dateien vom IdP 2.x ([[de: |
- | * Die Metadaten des IdP 3.x ('' | + | * Die Metadaten des IdP 3.4.x sind jetzt identisch zum IdP 2.x. Es muss nichts in der DFN-AAI-Metadatenverwaltung |
- | * Übernehmen Sie die Attribute-, NameID-, Datenbank- und sonstige Konfigurationen von Ihrer 3.x Testinstallation auf das neue Produktiv-System. | + | * Übernehmen Sie die Attribute-, NameID-, Datenbank- und sonstige Konfigurationen von Ihrer 3.4.x Testinstallation auf das neue Produktiv-System. |
- | * Ersetzen Sie in Ihrem DNS-Server die IP des alten IdP 2.x durch die IP des neuen IdP 3.x. | + | ==== Schritt 3: DNS-Eintrag schwenken ==== |
+ | * Ersetzen Sie in Ihrem DNS-Server die IP des alten IdP 2.x durch die IP des neuen IdP 3.4.x. | ||
* Lassen Sie den IdP 2.x noch so lange laufen, bis sich die DNS-Änderung weltweit verbreitet hat. | * Lassen Sie den IdP 2.x noch so lange laufen, bis sich die DNS-Änderung weltweit verbreitet hat. | ||
* Wenn Sie sehen, dass am IdP 2.x keine Zugriffe mehr erfolgen, können Sie ihn abschalten. | * Wenn Sie sehen, dass am IdP 2.x keine Zugriffe mehr erfolgen, können Sie ihn abschalten. | ||
Zeile 27: | Zeile 33: | ||
===== Hinweise zum Upgrade innerhalb der IdP v3 Produktlinie ===== | ===== Hinweise zum Upgrade innerhalb der IdP v3 Produktlinie ===== | ||
- | https:// | + | https:// |
Unter Linux ist insbesondere darauf zu achten, dass beim Upgrade die Schreib-/ | Unter Linux ist insbesondere darauf zu achten, dass beim Upgrade die Schreib-/ | ||
Zeile 129: | Zeile 135: | ||
</ | </ | ||
+ | ==== conf/ | ||
+ | Folgende Zeile muss in den LDAP-Einstellungen ab Shibboleth 3.4.4 aktualisiert werden, falls vorhanden: | ||
+ | <file xml conf/ | ||
+ | # alt: | ||
+ | # idp.attribute.resolver.LDAP.searchFilter = (CN=$requestContext.principalName) | ||
+ | # neu: | ||
+ | idp.attribute.resolver.LDAP.searchFilter = (CN=$resolutionContext.principalName) | ||
+ | </ | ||
+ | |||
+ | ===== Betriebssystem-Upgrade auf Debian 10 ===== | ||
+ | |||
+ | Debian 10 kommt mit Tomcat9 und Java 11. Das Upgrade besteht grob aus folgenden Schritten. Danke an den Kollegen aus Bremerhaven! | ||
+ | |||
+ | * System-Upgrade | ||
+ | * Installation der neuen Pakete (tomcat9, mariadb-server, | ||
+ | * Anpassen der Default-Java-Version ('' | ||
+ | * Kopieren der Catalina/ | ||
+ | * "/ | ||
+ | * Anpassen der / | ||
+ | * systemctl edit tomcat9:< | ||
+ | [Unit] | ||
+ | After=mariadb.service | ||
+ | Wants=mariadb.service | ||
+ | [Service] | ||
+ | ReadWritePaths=/ | ||
+ | ReadWritePaths=/ | ||
+ | * Shibboleth-IdP neu bauen (bin/ | ||
+ | * falls nötig: [[https:// | ||
+ | * Anpassen der Berechtigungen von User/Gruppe '' | ||
+ | * Deinstallation alter Pakete |