Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:shibidp:config-storage [2020/05/13 16:14] – ↷ Links angepasst weil Seiten im Wiki verschoben wurden Silke Meyerde:shibidp:config-storage [2020/07/23 12:27] – [Generierung und Speicherung] Silke Meyer
Zeile 171: Zeile 171:
  
 ==== Generierung und Speicherung ==== ==== Generierung und Speicherung ====
-Das gewählte Quellattribut legen Sie in ''./conf/saml-nameid.properties'' fest: Schauen Sie in ''.conf/attribute-resolver.xml'' nach, welche "id" das Quellattribut hat und tragen Sie sie hier ein. Es wird //nicht// der originale Attribut-Name aus dem IdM verwendet! Der Hash sollte möglichst lang und beliebig sein und mit niemandem geteilt werden. Schließlich stellen Sie hier noch ein, dass die persistenIds in der MySQL-Datenbank gespeichert werden sollen.+Das gewählte Quellattribut legen Sie in ''./conf/saml-nameid.properties'' fest: Schauen Sie in ''.conf/attribute-resolver.xml'' nach, welche "id" das Quellattribut hat und tragen Sie sie hier ein. Es wird //nicht// der originale Attribut-Name aus dem IdM verwendet! Hier stellen Sie auch ein, dass die persistentIds in der MySQL-Datenbank gespeichert werden sollen.
  
 <file properties /opt/shibboleth-idp/conf/saml-nameid.properties> <file properties /opt/shibboleth-idp/conf/saml-nameid.properties>
 idp.persistentId.sourceAttribute = uid idp.persistentId.sourceAttribute = uid
 # idp.persistentId.useUnfilteredAttributes = true # idp.persistentId.useUnfilteredAttributes = true
-# Do *NOT* share the salt with other people, it's like divulging your private key. 
-# idp.persistentId.algorithm = SHA 
-idp.persistentId.salt = MöglichstBeliebigUndGeHeim-mindestens-16bytes 
  
 # To use a database, use shibboleth.StoredPersistentIdGenerator # To use a database, use shibboleth.StoredPersistentIdGenerator
Zeile 186: Zeile 183:
 </file> </file>
  
 +Der Salt-Hash, mit dem die persistentIds generiert werden, wird aus Sicherheitsgründen in der zugriffsbeschränkten Passwortdatei ''./credentials/secrets.properties'' hinterlegt. Er sollte möglichst lang und beliebig sein und mit niemandem geteilt werden.
 +
 +<file properties /opt/shibboleth-idp/credentials/secrets.properties>
 +idp.persistentId.salt = my-very-very-long-hash
 +</file>
 ==== Generator anschalten ==== ==== Generator anschalten ====
 Die Generierung der persistentIds muss separat angeschaltet werden. Entfernen Sie dazu den Kommentar bei ''shibboleth.SAML2PersistentGenerator'' in ''./conf/saml-nameid.xml'': Die Generierung der persistentIds muss separat angeschaltet werden. Entfernen Sie dazu den Kommentar bei ''shibboleth.SAML2PersistentGenerator'' in ''./conf/saml-nameid.xml'':
  • Zuletzt geändert: vor 8 Monaten