Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:shibidp:config-ecp [2020/04/14 13:42] – angelegt Silke Meyer | de:shibidp:config-ecp [2020/04/14 15:17] – Silke Meyer | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== Enhanced Client or Proxy (ECP) ====== | ====== Enhanced Client or Proxy (ECP) ====== | ||
- | Die grundlegenden [[https:// | + | Die grundlegenden [[https:// |
ECP ist im IdP 3.x out-of-the box aktiv. | ECP ist im IdP 3.x out-of-the box aktiv. | ||
Zeile 12: | Zeile 12: | ||
Ob die IdP-seitigen Voreinstellungen für den ECP-Support ausreichen, hängt letztlich vom Verhalten der eingesetzten Clients ab, siehe hierzu die [[https:// | Ob die IdP-seitigen Voreinstellungen für den ECP-Support ausreichen, hängt letztlich vom Verhalten der eingesetzten Clients ab, siehe hierzu die [[https:// | ||
- | ===== ECP für BWSync& | + | <callout color="# |
+ | Viele Sync& | ||
+ | </ | ||
- | Die Im Moment gängigen BW-Sync& | + | ===== Entweder: ECP-Endpunkt mit Apache |
- | mitbringt leider nicht zurecht (Ausnahme: der Powerfolder Iphone-Client scheint zu funktionieren). | + | |
- | Der ECP-Endpunkt | + | |
- | Dies kann mithilfe von Apache oder Tomcat gemacht werden, wobei die Apache-Variante aus unserer Sicht | + | |
- | deutlich simpler ist (die Tomcat-Variante finden Sie rechts im Index falls Sie Tomcat ohne Apache betreiben): | + | |
- | ==== Basic-Auth mithilfe von Apache | + | Authentifizierung per LDAP im Apache |
- | ECP-Endpoint per Basic-Auth schützen: | + | <code bash> |
+ | root@idp:~# a2enmod authnz_ldap | ||
+ | root@idp:~# systemctl reload apache2 | ||
+ | </ | ||
- | < | + | < |
- | # | + | |
- | # Definition des LDAP-Server-Root-CA-Zertifikates | + | |
- | # | + | |
- | # ACHTUNG: | + | |
# | # | ||
- | # - kann nicht innerhalb | + | # - Definition |
- | # - hier am Beispiel der DFN-PKI, | + | # - hier am Beispiel der DFN-PKI, |
- | # - stellen Sie sicher dass in / | + | # - Abweichende Einträge |
- | # | + | |
# | # | ||
LDAPTrustedGlobalCert CA_BASE64 / | LDAPTrustedGlobalCert CA_BASE64 / | ||
Zeile 40: | Zeile 36: | ||
ServerName | ServerName | ||
... | ... | ||
- | | ||
# ECP-Config für Sync& | # ECP-Config für Sync& | ||
< | < | ||
Zeile 54: | Zeile 49: | ||
</ | </ | ||
- | Authentifizierung per LDAP im Apache aktivieren: | + | ===== Oder: ECP-Endpunkt mit Tomcat Basic-Auth schützen ===== |
- | <code bash> | + | FIXME prüfen! |
- | root@idp:~# a2enmod authnz_ldap | + | |
- | root@idp:~# systemctl reload apache2 | + | Wir empfehlen, die ECP-Schnittstelle über den Webserver zu schützen, wenn dies in Ihrer Umgebung möglich ist. |
- | </code> | + | |
+ | Zunächst aktivieren Sie folgende Blöcke in '' | ||
+ | |||
+ | <file xml ./ | ||
+ | ... | ||
+ | <!-- | ||
+ | Uncomment to use container managed authentication. The new servlet spec (3.1) | ||
+ | supports " | ||
+ | Older containers usually support " | ||
+ | requires setting the Strict property on the SecurityManager.) | ||
+ | --> | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | </ | ||
+ | < | ||
+ | < | ||
+ | </ | ||
+ | < | ||
+ | < | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | <!-- Uncomment if you want BASIC auth managed by the container. --> | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | </ | ||
+ | ... | ||
+ | </ | ||
+ | |||
+ | Passen Sie das Context Fragment in der Tomcat-Konfiguration an. Das sieht dann ungefähr so aus (appName, Pfade etc. ggf. anpassen): | ||
+ | |||
+ | <file xml / | ||
+ | <Context docBase="/ | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | <Realm className=" | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | Geben Sie Tomcat den Pfad zur JAAS login.config als Startparameter mit: | ||
+ | |||
+ | <file bash / | ||
+ | JAVA_OPTS=" | ||
+ | </ | ||
+ | |||
+ | Legen Sie die Datei '' | ||
+ | |||
+ | <file javascript | ||
+ | ShibUserPassAuth { | ||
+ | | ||
+ | ldapUrl=" | ||
+ | ssl=" | ||
+ | bindDn=" | ||
+ | bindCredential=" | ||
+ | baseDn=" | ||
+ | userFilter=" | ||
+ | logCredentials=" | ||
+ | ; | ||
+ | }; | ||
+ | </ | ||
+ | |||
+ | Starten Sie Tomcat neu. | ||
+ | <callout color="# | ||
Da dieser Endpunkt weltweit erreichbar sein muss, können hier auch Brute-Force-Passwort-Angriffe auftreten. | Da dieser Endpunkt weltweit erreichbar sein muss, können hier auch Brute-Force-Passwort-Angriffe auftreten. | ||
Diesen sollten ebenfalls mithilfe von fail2ban begegnet werden, siehe die [[de: | Diesen sollten ebenfalls mithilfe von fail2ban begegnet werden, siehe die [[de: | ||
+ | </ | ||
===== Funktionstest ===== | ===== Funktionstest ===== | ||
Zeile 84: | Zeile 150: | ||
===== ECP einschränken auf einzelne SPs ===== | ===== ECP einschränken auf einzelne SPs ===== | ||
- | Wer die ECP-Unterstützung auf einzelne SPs einschränken möchte (aus unserer Sicht nicht nötig und hier nur der Vollständigkeit halber | + | Aus unserer Sicht ist es nicht nötig, |
- | [[de: | + | |
+ | Mit diesem | ||
<file xml / | <file xml / |