Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:shibidp3upgrade [2019/08/13 16:25]
Silke Meyer [Schritt 1: Testsystem aufsetzen]
de:shibidp3upgrade [2019/10/08 10:14]
Wolfgang Pempe [Hinweise zum Upgrade innerhalb der IdP v3 Produktlinie]
Zeile 14: Zeile 14:
     * Konfigurieren Sie ''​attribut-resolver.xml''​ und ''​attribut-filter.xml''​ analog zu Ihrem IdP 2.x und überzeugen Sie sich mithilfe unserer Test-SPs, dass die Attribute so übermittelt werden, wie es Ihr IdP 2.x tut.     * Konfigurieren Sie ''​attribut-resolver.xml''​ und ''​attribut-filter.xml''​ analog zu Ihrem IdP 2.x und überzeugen Sie sich mithilfe unserer Test-SPs, dass die Attribute so übermittelt werden, wie es Ihr IdP 2.x tut.
     * **Bitte bauen Sie in diesem Zuge auch die Syntax von ''​attribute-resolver.xml''​ um!** Die Syntax von Shibboleth IdP 2.x mit den zahlreichen Namespaces wird ab Shibboleth 4.x nicht mehr unterstützt. Hiermit legen Sie eine wichtige Grundlage für das Upgrade auf die 4er-Version. Beispiele finden Sie in der mitgelieferten Datei ''​conf/​attribute-resolver.xml''​ bzw. [[de:​attribute-resolver-example|hier im Wiki]].     * **Bitte bauen Sie in diesem Zuge auch die Syntax von ''​attribute-resolver.xml''​ um!** Die Syntax von Shibboleth IdP 2.x mit den zahlreichen Namespaces wird ab Shibboleth 4.x nicht mehr unterstützt. Hiermit legen Sie eine wichtige Grundlage für das Upgrade auf die 4er-Version. Beispiele finden Sie in der mitgelieferten Datei ''​conf/​attribute-resolver.xml''​ bzw. [[de:​attribute-resolver-example|hier im Wiki]].
-    * Übrigens gibt es in der DFN-AAI keine SPs mehr, die ausschließlich den veralteten SAML1-Standard sprechen. Daher können Sie aus der ''​conf/​attribute-resolver.xml''​ alle **SAML1-Direktiven entfernen**.<​code>KANN WEG: +    * Übrigens gibt es in der DFN-AAI keine SPs mehr, die ausschließlich den veralteten SAML1-Standard sprechen. Daher können Sie aus der ''​conf/​attribute-resolver.xml''​ alle **SAML1-Direktiven entfernen**.<​file xml ./​conf/​attribute-resolver.xml
-<​AttributeEncoder xsi:​type="​SAML1String"​ name="​urn:​mace:​dir:​attribute-def:​mail"​ encodeType="​false"​ /></code>Die SAML2-Encodings brauchen Sie selbstverständlich noch!<​code>​MUSS BLEIBEN: +<​AttributeEncoder xsi:​type="​SAML1String"​ name="​urn:​mace:​dir:​attribute-def:​mail"​ encodeType="​false"​ /></file>Die SAML2-Encodings brauchen Sie selbstverständlich noch!
-<​AttributeEncoder xsi:​type="​SAML2String"​ name="​urn:​oid:​0.9.2342.19200300.100.1.3"​ friendlyName="​mail"​ encodeType="​false"​ /></​code>​+
     * **Migrieren Sie die bestehende persistentId-Datenbank** vom IdP 2.x auf die Testinstallation und verifizieren Sie, dass die IDs unverändert geblieben sind. Achten Sie hierbei darauf, dass Quellattribut(e) und Salt gleich bleiben! **Die persistentIds müssen unverändert bleiben, damit Ihre Nutzer*innen bei den Service Providern wiedererkannt werden!**     * **Migrieren Sie die bestehende persistentId-Datenbank** vom IdP 2.x auf die Testinstallation und verifizieren Sie, dass die IDs unverändert geblieben sind. Achten Sie hierbei darauf, dass Quellattribut(e) und Salt gleich bleiben! **Die persistentIds müssen unverändert bleiben, damit Ihre Nutzer*innen bei den Service Providern wiedererkannt werden!**
   * Wir empfehlen Ihnen, diesen Test-IdP zu behalten. So haben Sie für künftige Upgrades ein funktionierendes Testsystem, das Sie bei Bedarf einfach wieder in die Testföderation aufnehmen können.   * Wir empfehlen Ihnen, diesen Test-IdP zu behalten. So haben Sie für künftige Upgrades ein funktionierendes Testsystem, das Sie bei Bedarf einfach wieder in die Testföderation aufnehmen können.
Zeile 38: Zeile 37:
 Unter Linux ist insbesondere darauf zu achten, dass beim Upgrade die Schreib-/​Leseberechtigungen korrekt gesetzt werden (Parameter''​ -Didp.conf.filemode=644''​ beim Aufruf von ''​./​bin/​install.sh''​). Siehe hierzu auch die Anleitung von SWITCH unter [[https://​www.switch.ch/​aai/​guides/​idp/​installation/#​upgrading|8.2. Common upgrade instructions for the Shibboleth IdP 3]]. Unter Linux ist insbesondere darauf zu achten, dass beim Upgrade die Schreib-/​Leseberechtigungen korrekt gesetzt werden (Parameter''​ -Didp.conf.filemode=644''​ beim Aufruf von ''​./​bin/​install.sh''​). Siehe hierzu auch die Anleitung von SWITCH unter [[https://​www.switch.ch/​aai/​guides/​idp/​installation/#​upgrading|8.2. Common upgrade instructions for the Shibboleth IdP 3]].
  
-Für den Fall, dass die deutsche Übersetzung danach fehlt, stellen Sie sicher, dass die [[https://​wiki.shibboleth.net/​confluence/​display/​IDP30/​MessagesTranslation#​MessagesTranslation-v3.3IdentityProvider3.3|Sprachdatei]] unter dem Pfad ''<​installationspfad>/​system/​messages/​messages_de.properties''​ (meist: ''/​opt/​shibboleth-idp/​system/​messages/​messages_de.properties''​) liegt.+Für den Fall, dass die deutsche Übersetzung danach fehlt, stellen Sie sicher, dass die [[de:shibidp3i18n|Sprachdatei]] unter dem Pfad ''<​installationspfad>/​system/​messages/​messages_de.properties''​ (meist: ''/​opt/​shibboleth-idp/​system/​messages/​messages_de.properties''​) liegt.
  
 ===== Überblick über die Konfigurationsänderungen ab IdP v3.4.0 - Vorbereitung auf IdP v4.x ===== ===== Überblick über die Konfigurationsänderungen ab IdP v3.4.0 - Vorbereitung auf IdP v4.x =====
Zeile 136: Zeile 135:
 </​file>​ </​file>​
  
 +==== conf/​ldap.properties ====
 +Folgende Zeile muss in den LDAP-Einstellungen ab Shibboleth 3.4.4 aktualisiert werden, falls vorhanden:
 +<file xml conf/​ldap.properties>​
 +# alt - mit dem Attribut CN als Suchfilter:
 +# idp.attribute.resolver.LDAP.searchFilter = (CN=$requestContext.principalName)
 +# neu - mit dem Attribut CN als Suchfilter:
 +idp.attribute.resolver.LDAP.searchFilter = (CN=$resolutionContext.principal)
 +</​file>​
 +
 +===== Betriebssystem-Upgrade auf Debian 10 =====
 +
 +Debian 10 kommt mit Tomcat9 und Java 11. Das Upgrade besteht grob aus folgenden Schritten. Danke an den Kollegen aus Bremerhaven!
 +
 +  * System-Upgrade
 +  * Installation der neuen Pakete (tomcat9, mariadb-server,​ libmariadb-java,​ libtaglibs-standard-impl-java,​ default-libmysqlclient-dev bzw. libmariadb-dev)
 +  * Anpassen der Default-Java-Version (''​update-alternatives --config java''​)
 +  * Kopieren der Catalina/​localhost-Config zu Tomcat9
 +  * "/​usr/​share/​java/"​ zu ''/​etc/​tomcat9/​catalina.properties''​ hinzufügen
 +  * Anpassen der /​etc/​default/​tomcat9
 +  * systemctl edit tomcat9:<​code>​
 +[Unit]
 +After=mariadb.service
 +Wants=mariadb.service
 +[Service]
 +ReadWritePaths=/​opt/​shibboleth-idp/​logs/​
 +ReadWritePaths=/​opt/​shibboleth-idp/​metadata/</​code>​
 +  * Shibboleth-IdP neu bauen (bin/​build.sh)
 +  * falls nötig: [[https://​doku.tid.dfn.de/​de:​shibidp3config-idm#​java-version|LDAP-Workaround aktivieren]]
 +  * Anpassen der Berechtigungen von User/Gruppe ''​tomcat8''​ zu ''​tomcat''​
 +  * Deinstallation alter Pakete
  • Zuletzt geändert: vor 6 Wochen