Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:shibidp:config-idm [2020/05/14 09:30] – Silke Meyer
+++ de:shibidp:config-idm [2024/11/27 12:00] (aktuell) – [Troubleshooting] Doreen Liebenau
@@ Zeile 1: / Zeile 1: @@
+<- de:shibidp:config-mdv|Eintrag in Metadatenverwaltung ^ de:shibidp:uebersicht|Überblick: Tutorial zur IdP-Inbetriebnahme ^ de:shibidp:config-attributes-minimal|Minimalkonfiguration der Attribute ->
 ~~NOTOC~~
 ====== Anbindung des IdM (LDAP/AD) ======
@@ Zeile 13: / Zeile 14: @@
 Der Pfad zum Root-Zertifikat der verwendeten PKI muss angegeben werden. So können Sie ihn vorab überprüfen:
 <code bash>
-root@idp:~# openssl s_client -connect ldap.uni-beispiel.de:ldaps -showcerts -CAfile /etc/ssl/certs/Deutsche_Telekom_Root_CA_2.pem
+root@idp:~# openssl s_client -connect ldap.uni-beispiel.de:ldaps -showcerts -CAfile /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem
 </code>
@@ Zeile 35: / Zeile 36: @@
 <file properties /opt/shibboleth-idp/conf/ldap.properties>
-# Beispielkonfiguration, die für OpenLDAP und AD funktionieren kann:
+# Beispielkonfiguration, die für OpenLDAP funktionieren kann:
 idp.authn.LDAP.authenticator                    = bindSearchAuthenticator
 idp.authn.LDAP.ldapURL                          = ldaps://ldap.hochschule-XY:636
 idp.authn.LDAP.useStartTLS                      = false
-idp.authn.LDAP.useSSL                           = true
 idp.authn.LDAP.sslConfig                        = certificateTrust
+# Wenn Ihr IdM den Aufbau eines LDAP-Connection-Pools nicht unterstützt, können Sie den Pool global abschalten,
+# in dem Sie diese Zeile einfügen und das Kommentarzeichen entfernen:
+# idp.authn.LDAP.disablePooling = true
 # DFN-PKI:
-idp.authn.LDAP.trustCertificates                = /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem
+#idp.authn.LDAP.trustCertificates                = /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem
+# Sectigo-Zertifikat:
+idp.authn.LDAP.trustCertificates                 = /etc/ssl/certs/USERTrust_RSA_Certification_Authority.pem
 # lokales CA-Zertifikat:
 #idp.authn.LDAP.trustCertificates                = /etc/ssl/certs/beispiel-hs_local_ca_cert.pem
@@ Zeile 51: / Zeile 57: @@
 idp.authn.LDAP.baseDN                           = ou=people,dc=hochschule-XY,dc=de
-# statt "(uid={user})" nehmen Sie bei AD üblicherweise "(cn={user})" oder "(sAMAccountName={user})"
 idp.authn.LDAP.userFilter                       = (uid={user})
 idp.authn.LDAP.bindDN                           = cn=idp,cn=systemusers,dc=hochschule-XY,dc=de
-# sofern die User im LDAP in Sub-Bäumen verteilt sind bitte das hier aktivieren:
+# Sofern die Useraccounts im LDAP in Sub-Bäumen verteilt sind, aktivieren Sie bitte dies:
 #idp.authn.LDAP.subtreeSearch                    = true
 </file>
@@ Zeile 68: / Zeile 73: @@
 </code>
-Siehe auch im Shibboleth Wiki unter [[https://wiki.shibboleth.net/confluence/display/IDP4/LDAPAuthnConfiguration|LDAPAuthnConfiguration]].
+Siehe auch im Shibboleth Wiki unter [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199505688/LDAPAuthnConfiguration]].
 ==== LDAP-Abfrage 2: User-Attribute ====
+<file properties /opt/shibboleth-idp/conf/ldap.properties>
+idp.attribute.resolver.LDAP.searchFilter        = (uid=$resolutionContext.principal)
+</file>
+Triggern Sie das Einlesen der neuen Einstellungen:
+<code bash>
+root@idp:~# touch /opt/shibboleth-idp/war/idp.war
+</code>
+==== AD-Abfrage 1: User-Authentisierung ====
+<file properties /opt/shibboleth-idp/conf/ldap.properties>
+# Beispielkonfiguration, die für AD funktionieren kann:
+idp.authn.LDAP.authenticator                    = adAuthenticator
+idp.authn.LDAP.ldapURL                          = ldaps://ldap.hochschule-XY:636
+idp.authn.LDAP.useStartTLS                      = false
+idp.authn.LDAP.sslConfig                        = certificateTrust
+# Wenn Ihr IdM den Aufbau eines LDAP-Connection-Pools nicht unterstützt, können Sie den Pool global abschalten,
+# in dem Sie diese Zeile einfügen und das Kommentarzeichen entfernen:
+# idp.authn.LDAP.disablePooling = true
+# DFN-PKI:
+#idp.authn.LDAP.trustCertificates                = /etc/ssl/certs/T-TeleSec_GlobalRoot_Class_2.pem
+# Sectigo-Zertifikat:
+idp.authn.LDAP.trustCertificates                 = /etc/ssl/certs/USERTrust_RSA_Certification_Authority.pem
+# lokales CA-Zertifikat:
+#idp.authn.LDAP.trustCertificates                = /etc/ssl/certs/beispiel-hs_local_ca_cert.pem
+# Wenn festgestellt werden soll, ob der Account aktiv ist, müssen die entsprechenden Attribute geholt werden
+idp.authn.LDAP.returnAttributes                 = passwordExpirationTime,loginGraceRemaining
+idp.authn.LDAP.baseDN                           = ou=people,dc=hochschule-XY,dc=de
+# statt "(uid={user})" nehmen Sie bei AD üblicherweise "(cn={user})" oder "(sAMAccountName={user})"
+idp.authn.LDAP.userFilter                       = (uid={user})
+idp.authn.LDAP.bindDN                           = cn=idp,cn=systemusers,dc=hochschule-XY,dc=de
+# Format DN resolution, used by directAuthenticator, adAuthenticator
+idp.authn.LDAP.dnFormat.                        = %s@domain.com
+# Sofern die Useraccounts im LDAP in Sub-Bäumen verteilt sind, aktivieren Sie bitte dies:
+#idp.authn.LDAP.subtreeSearch                    = true
+</file>
+Passwörter werden ab IdPv4 standardmäßig in der besser geschützen Datei ''./credentials/secrets.properties'' gespeichert. Hier hinterlegen Sie das Bind-Passwort.
+<file properties /opt/shibboleth-idp/credentials/secrets.properties>
+idp.authn.LDAP.bindDNCredential                 = geheim007
+</file>
+Laden Sie das Servlet neu:
+<code bash>
+root@idp:~# touch /opt/shibboleth-idp/war/idp.war
+</code>
+Siehe auch im Shibboleth Wiki unter [[https://shibboleth.atlassian.net/wiki/spaces/IDP5/pages/3199505688/LDAPAuthnConfiguration]].
+==== AD-Abfrage 2: User-Attribute ====
 <file properties /opt/shibboleth-idp/conf/ldap.properties>
@@ Zeile 82: / Zeile 143: @@
 root@idp:~# touch /opt/shibboleth-idp/war/idp.war
 </code>
 ===== Test der LDAP-Verbindung =====
@@ Zeile 95: / Zeile 157: @@
   * Wenn Sie den Fehler ''opensaml::SecurityPolicyException'' bekommen, sehen Sie bitte auf der [[de:shibidp:troubleshooting#opensamlsecuritypolicyexception|Troubleshooting]]-Seite nach.
   * Beim LDAP-Fehler ''Invalid Credentials'' stellen Sie bitte sicher, dass Sie in ''./conf/ldap.properties'' bzw. ''./credentials/secrets.properties'' **bei den Zugangsdaten des Bind-Accounts keine Leerzeichen an den Zeilenenden** stehen haben. Das Passwort steht //nicht// in Hochkommata oder Anführungszeichen.
+  * Bei der Fehlermeldung ''Login Failure: javax.net.ssl.SSLException: Could not initialize SSL context'' stellen Sie bitte sicher, dass in ''./conf/ldap.properties'' beim **Pfad zum Zertifikat kein Leerzeichen am Zeilenende** steht.
   * Sollten Sie nicht erfolgreich zum Test-SP zurückgeleitet werden, achten Sie darauf, von welchem System die Fehlermeldung im Browser generiert wird: Entsteht sie am IdP oder an unserem Test-SP? Schauen Sie bitte in der Logdatei ''./logs/idp-process.log'' oder im [[https://wiki.shibboleth.net/confluence/display/IDP4/Troubleshooting|Shibboleth-Wiki]] nach möglichen Ursachen.
   * Sollten Sie damit nicht weiterkommen, senden Sie uns bitte einen Screenshot der Fehlermeldung und den genauen Zeitpunkt, zu dem der Fehler aufgetreten ist, damit wir mithilfe unseres SP-Logs die Ursache bestimmen können.
-Erst wenn der Login funktioniert, sollten Sie weitermachen mit der [[de:shibidp:config-attributes-minimal|Minimalkonfiguration der Attribute]].
+Erst wenn der Login funktioniert, sollten Sie weitermachen.
-{{tag>idp4 tutorial}}
+{{tag>tutorial ldap idm included-in-ansible}}

tutorial ldap idm included-in-ansible