Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:shibidp:config-ecp [2020/04/14 13:56] – [ECP für BWSync&Share] Silke Meyer | de:shibidp:config-ecp [2020/04/14 15:09] – Silke Meyer | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== Enhanced Client or Proxy (ECP) ====== | ====== Enhanced Client or Proxy (ECP) ====== | ||
- | Die grundlegenden [[https:// | + | Die grundlegenden [[https:// |
ECP ist im IdP 3.x out-of-the box aktiv. | ECP ist im IdP 3.x out-of-the box aktiv. | ||
Zeile 12: | Zeile 12: | ||
Ob die IdP-seitigen Voreinstellungen für den ECP-Support ausreichen, hängt letztlich vom Verhalten der eingesetzten Clients ab, siehe hierzu die [[https:// | Ob die IdP-seitigen Voreinstellungen für den ECP-Support ausreichen, hängt letztlich vom Verhalten der eingesetzten Clients ab, siehe hierzu die [[https:// | ||
- | ===== ECP für BWSync& | + | <callout type=" |
+ | Viele Sync& | ||
+ | </ | ||
- | Die gängigen BW-Sync& | + | ===== Entweder: |
- | Der ECP-Endpunkt | + | |
- | Dies kann mithilfe von Apache oder Tomcat gemacht werden, wobei die Apache-Variante aus unserer Sicht | + | |
- | deutlich simpler ist (die Tomcat-Variante finden Sie rechts im Index falls Sie Tomcat ohne Apache betreiben): | + | |
Authentifizierung per LDAP im Apache aktivieren: | Authentifizierung per LDAP im Apache aktivieren: | ||
Zeile 30: | Zeile 29: | ||
# - Definition des LDAP-Server-Root-CA-Zertifikates außerhalb der VirtualHost-Direktive | # - Definition des LDAP-Server-Root-CA-Zertifikates außerhalb der VirtualHost-Direktive | ||
# - hier am Beispiel der DFN-PKI, bitte anpassen | # - hier am Beispiel der DFN-PKI, bitte anpassen | ||
- | # - Ist in / | + | # - Abweichende Einträge |
# | # | ||
LDAPTrustedGlobalCert CA_BASE64 / | LDAPTrustedGlobalCert CA_BASE64 / | ||
Zeile 50: | Zeile 49: | ||
</ | </ | ||
+ | ===== Oder: ECP-Endpunkt mit Tomcat Basic-Auth schützen ===== | ||
+ | |||
+ | FIXME prüfen! | ||
+ | |||
+ | Wir empfehlen, die ECP-Schnittstelle über den Webserver zu schützen, wenn dies in Ihrer Umgebung möglich ist. | ||
+ | |||
+ | Zunächst aktivieren Sie folgende Blöcke in '' | ||
+ | |||
+ | <file xml ./ | ||
+ | ... | ||
+ | <!-- | ||
+ | Uncomment to use container managed authentication. The new servlet spec (3.1) | ||
+ | supports " | ||
+ | Older containers usually support " | ||
+ | requires setting the Strict property on the SecurityManager.) | ||
+ | --> | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | </ | ||
+ | < | ||
+ | < | ||
+ | </ | ||
+ | < | ||
+ | < | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | <!-- Uncomment if you want BASIC auth managed by the container. --> | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | </ | ||
+ | ... | ||
+ | </ | ||
+ | |||
+ | Passen Sie das Context Fragment in der Tomcat-Konfiguration an. Das sieht dann ungefähr so aus (appName, Pfade etc. ggf. anpassen): | ||
+ | |||
+ | <file xml / | ||
+ | <Context docBase="/ | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | <Realm className=" | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | Geben Sie Tomcat den Pfad zur JAAS login.config als Startparameter mit: | ||
+ | |||
+ | <file bash / | ||
+ | JAVA_OPTS=" | ||
+ | </ | ||
+ | |||
+ | Legen Sie die Datei '' | ||
+ | |||
+ | <file javascript / | ||
+ | ShibUserPassAuth { | ||
+ | | ||
+ | ldapUrl=" | ||
+ | ssl=" | ||
+ | bindDn=" | ||
+ | bindCredential=" | ||
+ | baseDn=" | ||
+ | userFilter=" | ||
+ | logCredentials=" | ||
+ | ; | ||
+ | }; | ||
+ | </ | ||
+ | |||
+ | Starten Sie Tomcat neu. | ||
+ | |||
+ | <callout type=" | ||
Da dieser Endpunkt weltweit erreichbar sein muss, können hier auch Brute-Force-Passwort-Angriffe auftreten. | Da dieser Endpunkt weltweit erreichbar sein muss, können hier auch Brute-Force-Passwort-Angriffe auftreten. | ||
Diesen sollten ebenfalls mithilfe von fail2ban begegnet werden, siehe die [[de: | Diesen sollten ebenfalls mithilfe von fail2ban begegnet werden, siehe die [[de: | ||
+ | </ | ||
===== Funktionstest ===== | ===== Funktionstest ===== |