Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
de:shibidp:config-ecp [2020/04/14 14:27] – Silke Meyer | de:shibidp:config-ecp [2023/03/02 14:40] (aktuell) – Silke Meyer | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== Enhanced Client or Proxy (ECP) ====== | ====== Enhanced Client or Proxy (ECP) ====== | ||
- | Die grundlegenden | + | Die ECP-Schnittstelle eines IdP ist für die Kommunikation mit nicht-browserbasierten Clients da. Das grundlegende |
- | ECP ist im IdP 3.x out-of-the box aktiv. | + | |
Achten Sie darauf, dass das ECP-SSO-Binding des IdPs in den DFN-AAI-Metadaten angegeben ist. Fehlt es, finden ECP-Clients den IdP nicht, wenn Sie sich anmelden wollen. | Achten Sie darauf, dass das ECP-SSO-Binding des IdPs in den DFN-AAI-Metadaten angegeben ist. Fehlt es, finden ECP-Clients den IdP nicht, wenn Sie sich anmelden wollen. | ||
- | {{de: | + | {{de: |
Zum Testen eignet sich das vom CILogon Projekt bereitgestellte [[http:// | Zum Testen eignet sich das vom CILogon Projekt bereitgestellte [[http:// | ||
- | Ob die IdP-seitigen Voreinstellungen für den ECP-Support ausreichen, hängt letztlich vom Verhalten der eingesetzten Clients ab, siehe hierzu die [[https:// | ||
- | < | + | < |
- | Viele Sync& | + | Viele Sync& |
</ | </ | ||
- | ===== ECP-Endpunkt mit Apache Basic-Auth schützen ===== | + | ===== Entweder: |
Authentifizierung per LDAP im Apache aktivieren: | Authentifizierung per LDAP im Apache aktivieren: | ||
Zeile 49: | Zeile 47: | ||
</ | </ | ||
- | ===== ECP-Endpunkt mit Tomcat Basic-Auth schützen ===== | + | ===== Oder: ECP-Endpunkt mit Tomcat Basic-Auth schützen ===== |
+ | |||
+ | FIXME prüfen! | ||
Wir empfehlen, die ECP-Schnittstelle über den Webserver zu schützen, wenn dies in Ihrer Umgebung möglich ist. | Wir empfehlen, die ECP-Schnittstelle über den Webserver zu schützen, wenn dies in Ihrer Umgebung möglich ist. | ||
- | **1. web.xml** (unter | + | Zunächst aktivieren Sie folgende Blöcke in '' |
- | Die beiden Blöcke am Ende ent-kommentieren: " | + | |
- | authentication" | + | |
- | **2. Context Fragment in Tomcat-Konfiguration anpassen.** \\ | + | <file xml ./edit-webapp/ |
- | Das sieht dann ungefähr so aus (appName, Pfade etc. ggf. anpassen): | + | ... |
+ | <!-- | ||
+ | Uncomment to use container managed authentication. The new servlet spec (3.1) | ||
+ | supports "**" as a wildcard syntax to avoid role usage, which is normally desirable. | ||
+ | Older containers usually support " | ||
+ | requires setting the Strict property on the SecurityManager.) | ||
+ | --> | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | </ | ||
+ | < | ||
+ | < | ||
+ | </ | ||
+ | < | ||
+ | < | ||
+ | </ | ||
+ | </ | ||
- | <file xml /etc/tomcat8/ | + | <!-- Uncomment if you want BASIC auth managed by the container. --> |
+ | < | ||
+ | < | ||
+ | < | ||
+ | </ | ||
+ | ... | ||
+ | </ | ||
+ | |||
+ | Passen Sie das Context Fragment in der Tomcat-Konfiguration an. Das sieht dann ungefähr so aus (appName, Pfade etc. ggf. anpassen): | ||
+ | |||
+ | <file xml /etc/tomcat9/ | ||
<Context docBase="/ | <Context docBase="/ | ||
| | ||
Zeile 70: | Zeile 99: | ||
</ | </ | ||
- | **3. Tomcat den Pfad zur JAAS login.config als Startparameter | + | Geben Sie Tomcat den Pfad zur JAAS login.config als Startparameter |
- | / | + | |
- | <file bash / | + | <file bash / |
- | JAVA_OPTS=" | + | JAVA_OPTS=" |
- | ..." | + | |
</ | </ | ||
- | **4. / | + | Legen Sie die Datei '' |
- | + | ||
- | ** ACHTUNG: die Java-Klasse ist eine andere als bei der gewohnten login.config des IdP 2.x !!** | + | |
<file javascript / | <file javascript / | ||
Zeile 96: | Zeile 121: | ||
</ | </ | ||
+ | Starten Sie Tomcat neu. | ||
- | + | < | |
- | < | + | |
Da dieser Endpunkt weltweit erreichbar sein muss, können hier auch Brute-Force-Passwort-Angriffe auftreten. | Da dieser Endpunkt weltweit erreichbar sein muss, können hier auch Brute-Force-Passwort-Angriffe auftreten. | ||
Diesen sollten ebenfalls mithilfe von fail2ban begegnet werden, siehe die [[de: | Diesen sollten ebenfalls mithilfe von fail2ban begegnet werden, siehe die [[de: | ||
Zeile 173: | Zeile 198: | ||
</ | </ | ||
+ | {{tag> |