Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
de:shibidp3userdepro [2019/08/28 10:47]
Wolfgang Pempe [Verlässlichkeit von Queries]
de:shibidp3userdepro [2020/04/16 09:38] (aktuell)
Silke Meyer
Zeile 72: Zeile 72:
 </​code>​ </​code>​
  
-Will man nun vom SP aus automatisiert Anfragen stellen so empfiehlt es sich auf den **Attribute Handler** bzw. die [[https://​bitbucket.org/​PEOFIAMP/​shibsp-plugin-attributequery-handler/​|Erweiterung der Gakunin-Föderation]] zurückgreifen.+Will man nun vom SP aus automatisiert Anfragen stellenso existiert hierfür der. sog. Attribute ​Resolver ​Handler:
  
 <file xml /​etc/​shibboleth/​shibboleth2.xml>​ <file xml /​etc/​shibboleth/​shibboleth2.xml>​
 <!-- ... --> <!-- ... -->
  <​OutOfProcess>​  <​OutOfProcess>​
- <​Extensions>​ +            ​<​Extensions>​ 
- <Library path="attributequery-handler.so" fatal="​true"/>​ +                <Library path="plugins.so" fatal="​true"/>​ 
- </​Extensions>​+            </​Extensions>​
  </​OutOfProcess>​  </​OutOfProcess>​
  
  <​InProcess>​  <​InProcess>​
- <​Extensions>​ +            ​<​Extensions>​ 
- <Library path="attributequery-handler-lite.so"​ fatal="​true"/>​ +                <Library path="plugins-lite.so"​ fatal="​true"/>​  
- </​Extensions>​+      </​Extensions>​
  </​InProcess>​  </​InProcess>​
  
Zeile 91: Zeile 91:
  <​Sessions...>​  <​Sessions...>​
  <!-- ... -->  <!-- ... -->
- <​Handler type="AttributeQuery" Location="/​AttributeQuery" acl="​127.0.0.1 ::1" />+ <​Handler type="AttributeResolver" Location="/​AttributeResolver" acl="​127.0.0.1 ::1" />
  <!-- ... -->  <!-- ... -->
  </​Sessions>​  </​Sessions>​
Zeile 107: Zeile 107:
 Stichwort URLencoding!!! Stichwort URLencoding!!!
  
-# curl -k "​https://​your-sp.de/​Shibboleth.sso/​AttributeQuery?​entityID=https://​your-idp.de/​idp/​shibboleth"​ --data-urlencode "​nameId=+9Blu1I8v96axDXHj01Gmpg36fM="​+# curl -k "​https://​your-sp.de/​Shibboleth.sso/​AttributeResolver?​entityID=https://​your-idp.de/​idp/​shibboleth"​ --data-urlencode "​nameId=+9Blu1I8v96axDXHj01Gmpg36fM="​
 </​code>​ </​code>​
  
-Alternativ kann dies auch mit Hilfe des mitgelieferten Python-Skriptes ausgeführt werden. 
- 
-<​code>​ 
-# /​etc/​shibboleth/​attributequery.py https://​your-sp.de/​Shibboleth.sso/​AttributeQuery https://​your-idp.de/​idp/​shibboleth +9Blu1I8v96axDXHj01Gmpg36fM= 
-</​code>​ 
  
 =====Verlässlichkeit von Queries===== =====Verlässlichkeit von Queries=====
Zeile 247: Zeile 242:
    ​* ​    ​* ​
 Als Beispiel für eine Attribute Query, die ein solches Attribut liefert, kann dieser URL genutzt werden: \\ Als Beispiel für eine Attribute Query, die ein solches Attribut liefert, kann dieser URL genutzt werden: \\
-https://​testsp3.aai.dfn.de/​Shibboleth.sso/​AttributeResolver?​entityID=https://​testidp.aai.dfn.de/​idp/​shibboleth&​nameId=MCE6NXEQ3FC3PUKY4M75EYCOWN4TGKBH&​format=urn:​oasis:​names:​tc:​SAML:​2.0:​nameid-format:​persistent+https://​testsp3.aai.dfn.de/​Shibboleth.sso/​AttributeResolver?​entityID=https://​testidp.aai.dfn.de/​idp/​shibboleth&​nameId=MCE6NXEQ3FC3PUKY4M75EYCOWN4TGKBH&​format=urn:​oasis:​names:​tc:​SAML:​2.0:​nameid-format:​persistent ​\\ 
 +(zuvor bitte bei der DFN-AAI Hotline Bescheid sagen, damit die ACL für diesen Handler entsprechend erweitert wird)
 =====Queries einschränken===== =====Queries einschränken=====
  
Zeile 427: Zeile 423:
  
 Desweiteren sollte man **kleine Pausen zwischen einzelnen Queries** lassen, damit man als SP nicht Gefahr läuft z.B. durch Mechanismen wie Fail2Ban ausgesperrt zu werden.\\ Desweiteren sollte man **kleine Pausen zwischen einzelnen Queries** lassen, damit man als SP nicht Gefahr läuft z.B. durch Mechanismen wie Fail2Ban ausgesperrt zu werden.\\
-Als Betreiber eines IdP ist es durchaus denkbar sich ähnlich wie im Thema [[de:shibidp3fail2ban|Abwehr Brute Force]] Gedanken zu machen um sich gegen zu viele Query-Anfragen zu schützen.+Als Betreiber eines IdP ist es durchaus denkbar sich ähnlich wie im Thema [[de:shibidp:​fail2ban|Abwehr Brute Force]] Gedanken zu machen um sich gegen zu viele Query-Anfragen zu schützen.
  
 Am Besten man nutzt also eine Cachefile, in der man hinterlegt, wann der Nutzer das letzte Mal erfolgreich abgefragt wurde.\\ Am Besten man nutzt also eine Cachefile, in der man hinterlegt, wann der Nutzer das letzte Mal erfolgreich abgefragt wurde.\\
Zeile 448: Zeile 444:
    * https://​wiki.shibboleth.net/​confluence/​display/​IDP30/​SecurityAndNetworking#​SecurityAndNetworking-PortsandConnectors    * https://​wiki.shibboleth.net/​confluence/​display/​IDP30/​SecurityAndNetworking#​SecurityAndNetworking-PortsandConnectors
    * https://​wiki.shibboleth.net/​confluence/​display/​SHIB2/​NativeSPAccountChecking    * https://​wiki.shibboleth.net/​confluence/​display/​SHIB2/​NativeSPAccountChecking
 +
 +{{tag>​idp3}}
  • Zuletzt geändert: vor 11 Monaten