Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:shibidp:config-idm [2020/04/14 15:14] Silke Meyerde:shibidp:config-idm [2021/10/06 11:34] – [LDAP-Abfrage 1: User-Authentisierung] Silke Meyer
Zeile 1: Zeile 1:
 +<- de:shibidp:config-mdv|Eintrag in Metadatenverwaltung ^ de:shibidp:uebersicht|Überblick: Tutorial zur IdP-Inbetriebnahme ^ de:shibidp:config-attributes-minimal|Minimalkonfiguration der Attribute ->
 ~~NOTOC~~ ~~NOTOC~~
 ====== Anbindung des IdM (LDAP/AD) ====== ====== Anbindung des IdM (LDAP/AD) ======
Zeile 7: Zeile 8:
 ==== Zertifikat am IdM ==== ==== Zertifikat am IdM ====
  
-<callout color="#660066" title="Hostname = CN?">+<callout color="#ff9900" title="Hostname = CN?">
 Der Hostname des IdM muss im Zertifikat enthalten sein, entweder direkt im CN oder im SubjectAlternativeName! Der Hostname des IdM muss im Zertifikat enthalten sein, entweder direkt im CN oder im SubjectAlternativeName!
 </callout> </callout>
Zeile 13: Zeile 14:
 Der Pfad zum Root-Zertifikat der verwendeten PKI muss angegeben werden. So können Sie ihn vorab überprüfen: Der Pfad zum Root-Zertifikat der verwendeten PKI muss angegeben werden. So können Sie ihn vorab überprüfen:
 <code bash> <code bash>
-root@idp:~# openssl s_client -connect ldap.uni-beispiel.de:ldaps -showcerts -CAfile /etc/ssl/certs/Deutsche_Telekom_Root_CA_2.pem+root@idp:~# openssl s_client -connect ldap.uni-beispiel.de:ldaps -showcerts -CAfile /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem
 </code> </code>
  
Zeile 39: Zeile 40:
 idp.authn.LDAP.ldapURL                          = ldaps://ldap.hochschule-XY:636 idp.authn.LDAP.ldapURL                          = ldaps://ldap.hochschule-XY:636
 idp.authn.LDAP.useStartTLS                      = false idp.authn.LDAP.useStartTLS                      = false
-idp.authn.LDAP.useSSL                           = true 
 idp.authn.LDAP.sslConfig                        = certificateTrust idp.authn.LDAP.sslConfig                        = certificateTrust
 +
 +# Wenn Ihr IdM den Aufbau eines LDAP-Connection-Pools nicht unterstützt, können Sie den Pool global abschalten,
 +# in dem Sie diese Zeile einfügen und das Kommentarzeichen entfernen:
 +# idp.authn.LDAP.disablePooling = true
  
 # DFN-PKI: # DFN-PKI:
Zeile 54: Zeile 58:
 idp.authn.LDAP.userFilter                       = (uid={user}) idp.authn.LDAP.userFilter                       = (uid={user})
 idp.authn.LDAP.bindDN                           = cn=idp,cn=systemusers,dc=hochschule-XY,dc=de idp.authn.LDAP.bindDN                           = cn=idp,cn=systemusers,dc=hochschule-XY,dc=de
-sofern die User im LDAP in Sub-Bäumen verteilt sind bitte das hier aktivieren:+Sofern die Useraccounts im LDAP in Sub-Bäumen verteilt sindaktivieren Sie bitte dies:
 #idp.authn.LDAP.subtreeSearch                    = true #idp.authn.LDAP.subtreeSearch                    = true
 </file> </file>
Zeile 85: Zeile 89:
 ===== Test der LDAP-Verbindung ===== ===== Test der LDAP-Verbindung =====
 <callout color="#ff9900" title="Testen!"> <callout color="#ff9900" title="Testen!">
-Testen Sie die LDAP-Verbindung, bevor Sie weitermachen!+Testen Sie die LDAP-Verbindung, bevor Sie weitermachen. Attribute werden Ihnen zum jetzigen Zeitpunkt noch nicht angezeigt.
 </callout> </callout>
-  * Tragen Sie Ihren IdP in der [[https://www.aai.dfn.de/verwaltung/|Metadatenverwaltung]] ein und nehmen Sie ihn in die Test-Föderation auf. 
-  * Warten Sie 90 Minuten, bis die nächste Aktualisierung der Föderationsmetadaten stattgefunden hat. 
-  * Machen Sie mithilfe unseres öffentlichen Test-SPs einen ersten Login-Versuch, siehe unter [[https://wiki.aai.dfn.de/de:functionaltest|Funktionstests]]. 
  
-**Es werden Ihnen zum jetzigen Zeitpunkt noch keine Attribute angezeigt+Sie haben im [[de:shibidp:config-mdv|letzten Schritt]] Ihren IdP in die Test-Föderation aufgenommen. Wenn seitdem mindestens 90 Minuten vergangen sind, können Sie jetzt einen ersten Login-Versuch mithilfe unseres öffentlichen [[https://testsp3.aai.dfn.de/|Test-SP3]] machen.  
-**+ 
 +Weitere Informationen zu den Test-SPs finden Sie unter [[de:functionaltest_idp|Funktionstest IdP]]
 ==== Troubleshooting ==== ==== Troubleshooting ====
-  * Wenn Sie den Fehler ''opensaml::SecurityPolicyException'' bekommen, sehen Sie bitte auf der [[de:shibidp3troubleshoot#opensamlsecuritypolicyexception|Troubleshooting]]-Seite nach.+  * Wenn Sie den Fehler ''opensaml::SecurityPolicyException'' bekommen, sehen Sie bitte auf der [[de:shibidp:troubleshooting#opensamlsecuritypolicyexception|Troubleshooting]]-Seite nach.
   * Beim LDAP-Fehler ''Invalid Credentials'' stellen Sie bitte sicher, dass Sie in ''./conf/ldap.properties'' bzw. ''./credentials/secrets.properties'' **bei den Zugangsdaten des Bind-Accounts keine Leerzeichen an den Zeilenenden** stehen haben. Das Passwort steht //nicht// in Hochkommata oder Anführungszeichen.   * Beim LDAP-Fehler ''Invalid Credentials'' stellen Sie bitte sicher, dass Sie in ''./conf/ldap.properties'' bzw. ''./credentials/secrets.properties'' **bei den Zugangsdaten des Bind-Accounts keine Leerzeichen an den Zeilenenden** stehen haben. Das Passwort steht //nicht// in Hochkommata oder Anführungszeichen.
   * Sollten Sie nicht erfolgreich zum Test-SP zurückgeleitet werden, achten Sie darauf, von welchem System die Fehlermeldung im Browser generiert wird: Entsteht sie am IdP oder an unserem Test-SP? Schauen Sie bitte in der Logdatei ''./logs/idp-process.log'' oder im [[https://wiki.shibboleth.net/confluence/display/IDP4/Troubleshooting|Shibboleth-Wiki]] nach möglichen Ursachen.   * Sollten Sie nicht erfolgreich zum Test-SP zurückgeleitet werden, achten Sie darauf, von welchem System die Fehlermeldung im Browser generiert wird: Entsteht sie am IdP oder an unserem Test-SP? Schauen Sie bitte in der Logdatei ''./logs/idp-process.log'' oder im [[https://wiki.shibboleth.net/confluence/display/IDP4/Troubleshooting|Shibboleth-Wiki]] nach möglichen Ursachen.
   * Sollten Sie damit nicht weiterkommen, senden Sie uns bitte einen Screenshot der Fehlermeldung und den genauen Zeitpunkt, zu dem der Fehler aufgetreten ist, damit wir mithilfe unseres SP-Logs die Ursache bestimmen können.   * Sollten Sie damit nicht weiterkommen, senden Sie uns bitte einen Screenshot der Fehlermeldung und den genauen Zeitpunkt, zu dem der Fehler aufgetreten ist, damit wir mithilfe unseres SP-Logs die Ursache bestimmen können.
  
-Erst wenn der Login funktioniert, sollten Sie die [[de:shibidp:config-attribute|Attribute]]-Konfiguration angehen! +Erst wenn der Login funktioniert, sollten Sie weitermachen.
  
 +{{tag>idp4 tutorial ldap idm included-in-ansible}}
  • Zuletzt geändert: vor 8 Monaten