Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
de:shibidp:config-ecp [2020/04/14 13:49] – Silke Meyer | de:shibidp:config-ecp [2023/03/02 14:40] (aktuell) – Silke Meyer | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== Enhanced Client or Proxy (ECP) ====== | ====== Enhanced Client or Proxy (ECP) ====== | ||
- | Die grundlegenden | + | Die ECP-Schnittstelle eines IdP ist für die Kommunikation mit nicht-browserbasierten Clients da. Das grundlegende |
- | ECP ist im IdP 3.x out-of-the box aktiv. | + | |
Achten Sie darauf, dass das ECP-SSO-Binding des IdPs in den DFN-AAI-Metadaten angegeben ist. Fehlt es, finden ECP-Clients den IdP nicht, wenn Sie sich anmelden wollen. | Achten Sie darauf, dass das ECP-SSO-Binding des IdPs in den DFN-AAI-Metadaten angegeben ist. Fehlt es, finden ECP-Clients den IdP nicht, wenn Sie sich anmelden wollen. | ||
- | {{de: | + | {{de: |
Zum Testen eignet sich das vom CILogon Projekt bereitgestellte [[http:// | Zum Testen eignet sich das vom CILogon Projekt bereitgestellte [[http:// | ||
- | Ob die IdP-seitigen Voreinstellungen für den ECP-Support ausreichen, hängt letztlich vom Verhalten der eingesetzten Clients ab, siehe hierzu die [[https:// | ||
- | ===== ECP für BWSync& | + | <callout color="# |
+ | Viele Sync& | ||
+ | </ | ||
- | Die gängigen BW-Sync& | + | ===== Entweder: |
- | Der ECP-Endpunkt | + | |
- | Dies kann mithilfe von Apache oder Tomcat gemacht werden, wobei die Apache-Variante aus unserer Sicht | + | |
- | deutlich simpler ist (die Tomcat-Variante finden Sie rechts im Index falls Sie Tomcat ohne Apache betreiben): | + | |
- | < | + | Authentifizierung per LDAP im Apache aktivieren: |
- | # | + | |
- | # Definition des LDAP-Server-Root-CA-Zertifikates | + | <code bash> |
- | # | + | root@idp:~# a2enmod authnz_ldap |
- | # ACHTUNG: | + | root@idp:~# systemctl reload apache2 |
+ | </ | ||
+ | |||
+ | < | ||
# | # | ||
- | # - kann nicht innerhalb | + | # - Definition |
- | # - hier am Beispiel der DFN-PKI, | + | # - hier am Beispiel der DFN-PKI, |
- | # - stellen Sie sicher dass in / | + | # - Abweichende Einträge |
- | # | + | |
# | # | ||
LDAPTrustedGlobalCert CA_BASE64 / | LDAPTrustedGlobalCert CA_BASE64 / | ||
Zeile 35: | Zeile 34: | ||
ServerName | ServerName | ||
... | ... | ||
- | | ||
# ECP-Config für Sync& | # ECP-Config für Sync& | ||
< | < | ||
Zeile 49: | Zeile 47: | ||
</ | </ | ||
- | Authentifizierung per LDAP im Apache aktivieren: | + | ===== Oder: ECP-Endpunkt mit Tomcat Basic-Auth schützen ===== |
- | <code bash> | + | FIXME prüfen! |
- | root@idp:~# a2enmod authnz_ldap | + | |
- | root@idp:~# systemctl reload apache2 | + | Wir empfehlen, die ECP-Schnittstelle über den Webserver zu schützen, wenn dies in Ihrer Umgebung möglich ist. |
- | </code> | + | |
+ | Zunächst aktivieren Sie folgende Blöcke in '' | ||
+ | |||
+ | <file xml ./ | ||
+ | ... | ||
+ | <!-- | ||
+ | Uncomment to use container managed authentication. The new servlet spec (3.1) | ||
+ | supports " | ||
+ | Older containers usually support " | ||
+ | requires setting the Strict property on the SecurityManager.) | ||
+ | --> | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | </ | ||
+ | < | ||
+ | < | ||
+ | </ | ||
+ | < | ||
+ | < | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | <!-- Uncomment if you want BASIC auth managed by the container. --> | ||
+ | < | ||
+ | < | ||
+ | < | ||
+ | </ | ||
+ | ... | ||
+ | </ | ||
+ | |||
+ | Passen Sie das Context Fragment in der Tomcat-Konfiguration an. Das sieht dann ungefähr so aus (appName, Pfade etc. ggf. anpassen): | ||
+ | |||
+ | <file xml / | ||
+ | <Context docBase="/ | ||
+ | | ||
+ | | ||
+ | | ||
+ | | ||
+ | <Realm className=" | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | Geben Sie Tomcat den Pfad zur JAAS login.config als Startparameter mit: | ||
+ | |||
+ | <file bash / | ||
+ | JAVA_OPTS=" | ||
+ | </ | ||
+ | |||
+ | Legen Sie die Datei '' | ||
+ | |||
+ | <file javascript | ||
+ | ShibUserPassAuth { | ||
+ | | ||
+ | ldapUrl=" | ||
+ | ssl=" | ||
+ | bindDn=" | ||
+ | bindCredential=" | ||
+ | baseDn=" | ||
+ | userFilter=" | ||
+ | logCredentials=" | ||
+ | ; | ||
+ | }; | ||
+ | </ | ||
+ | |||
+ | Starten Sie Tomcat neu. | ||
+ | <callout color="# | ||
Da dieser Endpunkt weltweit erreichbar sein muss, können hier auch Brute-Force-Passwort-Angriffe auftreten. | Da dieser Endpunkt weltweit erreichbar sein muss, können hier auch Brute-Force-Passwort-Angriffe auftreten. | ||
Diesen sollten ebenfalls mithilfe von fail2ban begegnet werden, siehe die [[de: | Diesen sollten ebenfalls mithilfe von fail2ban begegnet werden, siehe die [[de: | ||
+ | </ | ||
===== Funktionstest ===== | ===== Funktionstest ===== | ||
Zeile 79: | Zeile 148: | ||
===== ECP einschränken auf einzelne SPs ===== | ===== ECP einschränken auf einzelne SPs ===== | ||
- | Aus unserer Sicht ist es nicht nötig, die ECP-Unterstützung auf einzelne SPs einzuschränken. Der Vollständigkeit halber sei hier jedoch gezeigt, wie das geht: Sie müssten in ''/ | + | Aus unserer Sicht ist es nicht nötig, die ECP-Unterstützung auf einzelne SPs einzuschränken. Der Vollständigkeit halber sei hier jedoch gezeigt, wie das geht: Sie müssten in ''/ |
- | [[de: | + | |
Mit diesem Beispiel erlauben Sie den Zugriff auf die ECP-Schnittstelle nur für bwIDM-SPs: | Mit diesem Beispiel erlauben Sie den Zugriff auf die ECP-Schnittstelle nur für bwIDM-SPs: | ||
Zeile 130: | Zeile 198: | ||
</ | </ | ||
+ | {{tag> |