Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision |
de:shibidp:config-idm [2020/04/15 10:15] – [Test der LDAP-Verbindung] Silke Meyer | de:shibidp:config-idm [2023/10/27 13:47] – [LDAP-Abfrage 1: User-Authentisierung] Wolfgang Pempe |
---|
| <- de:shibidp:config-mdv|Eintrag in Metadatenverwaltung ^ de:shibidp:uebersicht|Überblick: Tutorial zur IdP-Inbetriebnahme ^ de:shibidp:config-attributes-minimal|Minimalkonfiguration der Attribute -> |
~~NOTOC~~ | ~~NOTOC~~ |
====== Anbindung des IdM (LDAP/AD) ====== | ====== Anbindung des IdM (LDAP/AD) ====== |
Der Pfad zum Root-Zertifikat der verwendeten PKI muss angegeben werden. So können Sie ihn vorab überprüfen: | Der Pfad zum Root-Zertifikat der verwendeten PKI muss angegeben werden. So können Sie ihn vorab überprüfen: |
<code bash> | <code bash> |
root@idp:~# openssl s_client -connect ldap.uni-beispiel.de:ldaps -showcerts -CAfile /etc/ssl/certs/Deutsche_Telekom_Root_CA_2.pem | root@idp:~# openssl s_client -connect ldap.uni-beispiel.de:ldaps -showcerts -CAfile /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem |
</code> | </code> |
| |
idp.authn.LDAP.ldapURL = ldaps://ldap.hochschule-XY:636 | idp.authn.LDAP.ldapURL = ldaps://ldap.hochschule-XY:636 |
idp.authn.LDAP.useStartTLS = false | idp.authn.LDAP.useStartTLS = false |
idp.authn.LDAP.useSSL = true | |
idp.authn.LDAP.sslConfig = certificateTrust | idp.authn.LDAP.sslConfig = certificateTrust |
| |
| # Wenn Ihr IdM den Aufbau eines LDAP-Connection-Pools nicht unterstützt, können Sie den Pool global abschalten, |
| # in dem Sie diese Zeile einfügen und das Kommentarzeichen entfernen: |
| # idp.authn.LDAP.disablePooling = true |
| |
# DFN-PKI: | # DFN-PKI: |
idp.authn.LDAP.trustCertificates = /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem | #idp.authn.LDAP.trustCertificates = /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem |
| # Sectigo-Zertifikat: |
| idp.authn.LDAP.trustCertificates = /etc/ssl/certs/USERTrust_RSA_Certification_Authority.pem |
# lokales CA-Zertifikat: | # lokales CA-Zertifikat: |
#idp.authn.LDAP.trustCertificates = /etc/ssl/certs/beispiel-hs_local_ca_cert.pem | #idp.authn.LDAP.trustCertificates = /etc/ssl/certs/beispiel-hs_local_ca_cert.pem |
idp.authn.LDAP.userFilter = (uid={user}) | idp.authn.LDAP.userFilter = (uid={user}) |
idp.authn.LDAP.bindDN = cn=idp,cn=systemusers,dc=hochschule-XY,dc=de | idp.authn.LDAP.bindDN = cn=idp,cn=systemusers,dc=hochschule-XY,dc=de |
# sofern die User im LDAP in Sub-Bäumen verteilt sind bitte das hier aktivieren: | # Sofern die Useraccounts im LDAP in Sub-Bäumen verteilt sind, aktivieren Sie bitte dies: |
#idp.authn.LDAP.subtreeSearch = true | #idp.authn.LDAP.subtreeSearch = true |
</file> | </file> |
===== Test der LDAP-Verbindung ===== | ===== Test der LDAP-Verbindung ===== |
<callout color="#ff9900" title="Testen!"> | <callout color="#ff9900" title="Testen!"> |
Testen Sie die LDAP-Verbindung, bevor Sie weitermachen! Es werden Ihnen zum jetzigen Zeitpunkt noch keine Attribute angezeigt. | Testen Sie die LDAP-Verbindung, bevor Sie weitermachen. Attribute werden Ihnen zum jetzigen Zeitpunkt noch nicht angezeigt. |
</callout> | </callout> |
| |
Sie haben im [[de:shibidp:config-mdv|letzten Schritt]] Ihren IdP in die Test-Föderation aufgenommen. Wenn seitdem mindestens 90 Minuten vergangen sind, können Sie jetzt einen ersten Login-Versuch mithilfe unserer [[de:functionaltest_idp|öffentlichen Test-SPs]] machen. | Sie haben im [[de:shibidp:config-mdv|letzten Schritt]] Ihren IdP in die Test-Föderation aufgenommen. Wenn seitdem mindestens 90 Minuten vergangen sind, können Sie jetzt einen ersten Login-Versuch mithilfe unseres öffentlichen [[https://testsp3.aai.dfn.de/|Test-SP3]] machen. |
| |
Weitere Informationen zu den Test-SPs finden Sie unter [[de:functionaltest_idp|Funktionstest IdP]]. | Weitere Informationen zu den Test-SPs finden Sie unter [[de:functionaltest_idp|Funktionstest IdP]]. |
| |
==== Troubleshooting ==== | ==== Troubleshooting ==== |
* Wenn Sie den Fehler ''opensaml::SecurityPolicyException'' bekommen, sehen Sie bitte auf der [[de:shibidp3troubleshoot#opensamlsecuritypolicyexception|Troubleshooting]]-Seite nach. | * Wenn Sie den Fehler ''opensaml::SecurityPolicyException'' bekommen, sehen Sie bitte auf der [[de:shibidp:troubleshooting#opensamlsecuritypolicyexception|Troubleshooting]]-Seite nach. |
* Beim LDAP-Fehler ''Invalid Credentials'' stellen Sie bitte sicher, dass Sie in ''./conf/ldap.properties'' bzw. ''./credentials/secrets.properties'' **bei den Zugangsdaten des Bind-Accounts keine Leerzeichen an den Zeilenenden** stehen haben. Das Passwort steht //nicht// in Hochkommata oder Anführungszeichen. | * Beim LDAP-Fehler ''Invalid Credentials'' stellen Sie bitte sicher, dass Sie in ''./conf/ldap.properties'' bzw. ''./credentials/secrets.properties'' **bei den Zugangsdaten des Bind-Accounts keine Leerzeichen an den Zeilenenden** stehen haben. Das Passwort steht //nicht// in Hochkommata oder Anführungszeichen. |
* Sollten Sie nicht erfolgreich zum Test-SP zurückgeleitet werden, achten Sie darauf, von welchem System die Fehlermeldung im Browser generiert wird: Entsteht sie am IdP oder an unserem Test-SP? Schauen Sie bitte in der Logdatei ''./logs/idp-process.log'' oder im [[https://wiki.shibboleth.net/confluence/display/IDP4/Troubleshooting|Shibboleth-Wiki]] nach möglichen Ursachen. | * Sollten Sie nicht erfolgreich zum Test-SP zurückgeleitet werden, achten Sie darauf, von welchem System die Fehlermeldung im Browser generiert wird: Entsteht sie am IdP oder an unserem Test-SP? Schauen Sie bitte in der Logdatei ''./logs/idp-process.log'' oder im [[https://wiki.shibboleth.net/confluence/display/IDP4/Troubleshooting|Shibboleth-Wiki]] nach möglichen Ursachen. |
* Sollten Sie damit nicht weiterkommen, senden Sie uns bitte einen Screenshot der Fehlermeldung und den genauen Zeitpunkt, zu dem der Fehler aufgetreten ist, damit wir mithilfe unseres SP-Logs die Ursache bestimmen können. | * Sollten Sie damit nicht weiterkommen, senden Sie uns bitte einen Screenshot der Fehlermeldung und den genauen Zeitpunkt, zu dem der Fehler aufgetreten ist, damit wir mithilfe unseres SP-Logs die Ursache bestimmen können. |
| |
Erst wenn der Login funktioniert, sollten Sie die [[de:shibidp:config-attribute|Attribute]]-Konfiguration angehen! | Erst wenn der Login funktioniert, sollten Sie weitermachen. |
| |
| {{tag>idp4 tutorial ldap idm included-in-ansible}} |