Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:shibidp:config-ecp [2020/04/14 14:27] – [Enhanced Client or Proxy (ECP)] Silke Meyerde:shibidp:config-ecp [2020/04/14 14:38] Silke Meyer
Zeile 16: Zeile 16:
 </callout> </callout>
  
-===== ECP-Endpunkt mit Apache Basic-Auth schützen =====+===== Entweder: ECP-Endpunkt mit Apache Basic-Auth schützen =====
  
 Authentifizierung per LDAP im Apache aktivieren: Authentifizierung per LDAP im Apache aktivieren:
Zeile 49: Zeile 49:
 </file> </file>
  
-===== ECP-Endpunkt mit Tomcat Basic-Auth schützen =====+===== Oder: ECP-Endpunkt mit Tomcat Basic-Auth schützen =====
  
 Wir empfehlen, die ECP-Schnittstelle über den Webserver zu schützen, wenn dies in Ihrer Umgebung möglich ist. Wir empfehlen, die ECP-Schnittstelle über den Webserver zu schützen, wenn dies in Ihrer Umgebung möglich ist.
  
-**1web.xml** (unter /edit-webapp/WEB-INF bearbeiten): \\  +Zunächst aktivieren Sie folgende Blöcke in ''./edit-webapp/WEB-INF/web.xml'':
-Die beiden Blöcke am Ende ent-kommentieren"Uncomment to use container managed +
-authentication" und "Uncomment if you want BASIC auth managed by the container"+
  
-**2Context Fragment in Tomcat-Konfiguration anpassen.** \\ +<file xml ./edit-webapp/WEB-INF/web.xml> 
-Das sieht dann ungefähr so aus (appName, Pfade etcggfanpassen):+    ... 
 +    <!-- 
 +    Uncomment to use container managed authentication. The new servlet spec (3.1) 
 +    supports "**" as a wildcard syntax to avoid role usage, which is normally desirable. 
 +    Older containers usually support "*" when proprietary options are used (e.g., Jetty 
 +    requires setting the Strict property on the SecurityManager.) 
 +    --> 
 +    <security-constraint> 
 +        <display-name>Web Login Service</display-name> 
 +        <web-resource-collection> 
 +            <web-resource-name>user authentication</web-resource-name> 
 +            <url-pattern>/Authn/RemoteUser</url-pattern> 
 +            <url-pattern>/profile/SAML2/SOAP/ECP</url-pattern> 
 +            <http-method>POST</http-method>· 
 +        </web-resource-collection> 
 +        <auth-constraint> 
 +            <role-name>**</role-name> 
 +        </auth-constraint> 
 +        <user-data-constraint> 
 +            <transport-guarantee>CONFIDENTIAL</transport-guarantee>· 
 +        </user-data-constraint> 
 +    </security-constraint>
  
-<file xml /etc/tomcat8/Catalina/localhost/idp.xml>+    <!-- Uncomment if you want BASIC auth managed by the container. --> 
 +    <login-config> 
 +        <auth-method>BASIC</auth-method> 
 +        <realm-name>Web Login Service</realm-name> 
 +    </login-config> 
 +    ... 
 +</file> 
 + 
 +Passen Sie das Context Fragment in der Tomcat-Konfiguration an. Das sieht dann ungefähr so aus (appName, Pfade etc. ggf. anpassen): 
 + 
 +<file xml /etc/tomcat9/Catalina/localhost/idp.xml>
 <Context docBase="/opt/shibboleth-idp/war/idp.war" <Context docBase="/opt/shibboleth-idp/war/idp.war"
          privileged="true"          privileged="true"
Zeile 70: Zeile 99:
 </file> </file>
  
-**3. Tomcat den Pfad zur JAAS login.config als Startparameter mitgeben** (unter Debian in +Geben Sie Tomcat den Pfad zur JAAS login.config als Startparameter mit:
-/etc/default/tomcat8):+
  
-<file bash /etc/default/tomcat8>+<file bash /etc/default/tomcat9>
 JAVA_OPTS=" ... -Djava.security.auth.login.config=file:/opt/shibboleth-idp/login.config JAVA_OPTS=" ... -Djava.security.auth.login.config=file:/opt/shibboleth-idp/login.config
 ..." ..."
  • Zuletzt geändert: vor 18 Monaten