Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:shibidp3monitoring [2020/10/14 13:22] – [Monitoring der Logins] Silke Meyerde:shibidp:config-monitoring [2021/05/03 14:58] (aktuell) – ↷ Seite von de:shibidp3monitoring nach de:shibidp:config-monitoring verschoben und umbenannt Silke Meyer
Zeile 1: Zeile 1:
 ===== Monitoring der Logins ===== ===== Monitoring der Logins =====
 +<callout color="#ff9900" title="Archiv"> 
 +Dieser Artikel ist ein Community-Beitrag für Shibboleth IdP 3.x. Es ist unklar, ob er für Shibboleth IdP 4.x so noch gilt. 
 +</callout>
 Standardmäßig werden innerhalb der ''idp-audit.log''-Dateien viele interessante Informationen mitgeloggt. Standardmäßig werden innerhalb der ''idp-audit.log''-Dateien viele interessante Informationen mitgeloggt.
  
-Wie Sie z.B. die Anzahl an Logins und weiterer Parameter ihres IdP 2.x auslesen und ins Monitoring aufnehmen können entnehmen Sie der [[http://docs.cacti.net/usertemplate:graph:shibboleth:idp_audit_log|Cacti-Dokumentation]]. +In der [[http://docs.cacti.net/usertemplate:graph:shibboleth:idp_audit_log|Cacti-Dokumentation]] erfahren Sie, wie Sie z.B. die Anzahl der Logins und weitere Parameter eines IdP 2.x auslesen und ins Monitoring aufnehmen können. Um das verwendete Analyse-Tool auch in höheren IdP-Versionen verwenden zu können, müssen Sie zwei kleine Anpassungen vornehmen:
- +
-Um das verwendete Analyse-Tool auch in höheren IdP-Versionen verwenden zu können, müssen Sie zwei kleine Anpassungen vornehmen:+
   - Anpassung des Log-Formates: Es fehlt ein abschließendes "|" am Ende der Zeile. <file xml conf/audit.xml>   - Anpassung des Log-Formates: Es fehlt ein abschließendes "|" am Ende der Zeile. <file xml conf/audit.xml>
 <!-- ... --> <!-- ... -->
Zeile 120: Zeile 120:
 ===== Gültigkeitsdauer der Zertifikate lokaler Metadaten prüfen ===== ===== Gültigkeitsdauer der Zertifikate lokaler Metadaten prüfen =====
  
-Bindet man (außerhalb der DFN-AAI Metadatenverwaltung) weitere lokale Metadatensätze ein, so empfiehlt es sich die Gültigkeitsdauer der darin verwendeten Zertifikate zu überwachen. Ein Shibboleth-IdP stelle keine Verbindung zu Systemen mit abgelaufenen Zertifikaten her.+Bindet man an der DFN-AAI vorbei auf dem IdP weitere lokale Metadatensätze ein, so empfiehlt es sichdie Gültigkeitsdauer der darin verwendeten Zertifikate zu überwachen. Ein Shibboleth-IdP stellt keine Verbindung zu Systemen mit abgelaufenen Zertifikaten her.
  
 Die folgenden drei PHP-Skripte müssen dazu auf dem IdP hinterlegt und z.B. via NRPE vom Monitoring-Dienst ausgeführt werden. Die folgenden drei PHP-Skripte müssen dazu auf dem IdP hinterlegt und z.B. via NRPE vom Monitoring-Dienst ausgeführt werden.
Zeile 128: Zeile 128:
 {{ :de:metadataCertificateValidator.txt?linkonly |}} (Nach dem Download einfach die Dateiendung auf '.php' ändern.) {{ :de:metadataCertificateValidator.txt?linkonly |}} (Nach dem Download einfach die Dateiendung auf '.php' ändern.)
  
-Dieses Skript wird genutzt um die Gültigkeit der Zertifikate zu prüfen, welche in den Metadaten der Shibboleth Service Provider hinterlegt sind.\\ +Dieses Skript wird genutztum die Gültigkeit der Zertifikate zu prüfen, die in den Metadaten der Shibboleth Service Provider hinterlegt sind. Es wurde speziell auf die Version 3.2.1 des Shibboleth Identity Providers zurecht geschnitten. FIXME 
-Es wurde speziell auf die Version 3.2.1 des Shibboleth Identity Providers zurecht geschnitten. +
- +
-Zunächst wird versucht die Datei /opt/shibboleth-idp/conf/metadata-providers.xml zu parsen.\\ +
-Hierbei wird nach allen <MetadataProvider>-Blöcken gesucht.\\ +
-Berücksichtigt werden dabei jedoch nur Einträge mit dem Attribut type="FilesystemMetadataProvider".+
  
-Von den gefundenen Einträgen wird der Pfad zur Metadaten-Datei auf der Festplatte ausgelesen (metadataFile="...").\\ +Funktionsweise: 
-Im Anschluss werden die genannten Dateien der Reihe nach untersucht.\\+
  
-Es werden hierbei die <ds:X509Certificate>-Blöcke betrachtet und geprüft, ob das Zertifikat noch gültig ist.\\ +Zunächst wird versucht die Datei ''/opt/shibboleth-idp/conf/metadata-providers.xml'' zu parsen. Hierbei wird nach allen ''<MetadataProvider>''-Blöcken gesucht.  
-Unterschreitet dessen Gültigkeitsdauer einen bestimmten Zeitrahmen (z.B 30 Tage) so wird die zugehörige entityID des SPs bemängelt.+Berücksichtigt werden dabei jedoch nur Einträge mit dem Attribut ''type="FilesystemMetadataProvider"''. Von den gefundenen Einträgen wird der Pfad zur Metadaten-Datei auf der Festplatte ausgelesen (''metadataFile="..."''). Im Anschluss werden die genannten Dateien der Reihe nach untersucht. Dabei werden die ''<ds:X509Certificate>''-Blöcke auf die Gültigkeitsdauer hin geprüft. Unterschreitet sie einen bestimmten Zeitrahmen (z.B30 Tage)so wird die zugehörige entityID des SPs bemängelt.
  
-Nachdem alle Dateien durchlaufen wurden, so wird zum Schluss eine Zusammenfassung im Nagios-Format ausgegeben.\\ +Nachdem alle Dateien durchlaufen wurden, wird eine Zusammenfassung im Nagios-Format ausgegeben. Mit Hilfe dieser Ausgabe kann im Centreon ein Check eingerichtet werden, wodurch vor ablaufenden SPs gewarnt wird.
-Mit Hilfe dieser Ausgabe kann im Centreon ein Check eingerichtet werden, wodurch vor ablaufenden SPs gewarnt wird.+
  
-Die Ausgabe enthält die entityIDs der betroffenen SPs und kann wie folgt aussehen:\\+Die Ausgabe enthält die entityIDs der betroffenen SPs und kann wie folgt aussehen:
  
 <code> <code>
Zeile 187: Zeile 180:
 </code> </code>
  
-{{tag>idp3}}+{{tag>archiv monitoring}}
  • Zuletzt geändert: vor 4 Jahren