Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
de:shibidp3ecp [2017/03/23 13:46] – Thorsten Michels | de:shibidp:ecp [2023/03/02 14:40] (aktuell) – Inhalt jetzt nur noch unter de:shibidp:config-ecp Silke Meyer | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== Enhanced Client and Proxy (ECP) ====== | ||
- | |||
- | ECP ist im IdP 3.x out-of-the box aktiv. | ||
- | |||
- | Achten Sie nur darauf dass das ECP-SSO-Binding des IdPs in den DFN-AAI-Metadaten auch angegeben ist: | ||
- | |||
- | {{de: | ||
- | |||
- | Fehlt dies, finden ECP-Clients den IdP nicht wenn Sie sich anmelden wollen. | ||
- | |||
- | Zum Testen eignet sich das vom CILogon Projekt bereitgestellte [[http:// | ||
- | |||
- | |||
- | Siehe auch die [[https:// | ||
- | |||
- | Ob die IdP-seitigen Voreinstellungen für den ECP-Support ausreichen, hängt letztlich vom Verhalten der eingesetzten Clients ab, siehe hierzu die [[https:// | ||
- | |||
- | ===== ECP für BWSync& | ||
- | |||
- | Die Im Moment gängigen BW-Sync& | ||
- | ECP-Endpunkt muss für diese Clients noch explizit mit Basic-Auth geschützt werden. Dies kann mithilfe von | ||
- | Apache oder Tomcat gemacht werden, wobei die Apache variante aus unserer Sicht deutlich simpler ist: | ||
- | ==== Basic-Auth mithilfe von Apache ==== | ||
- | |||
- | ECP-Endpoint per Basic-Auth schützen: | ||
- | |||
- | <file html / | ||
- | LDAPTrustedGlobalCert CA_BASE64 / | ||
- | < | ||
- | ServerName | ||
- | ... | ||
- | | ||
- | # ECP-Config für Sync& | ||
- | < | ||
- | AuthType Basic | ||
- | AuthName " | ||
- | AuthBasicProvider ldap | ||
- | AuthLDAPURL " | ||
- | AuthLDAPBindDN " | ||
- | AuthLDAPBindPassword " | ||
- | Require valid-user | ||
- | </ | ||
- | </ | ||
- | </ | ||
- | |||
- | Authentifizierung per LDAP im Apache aktivieren: | ||
- | |||
- | <code bash> | ||
- | root@idp:~# a2enmod authnz_ldap | ||
- | root@idp:~# systemctl reload apache2 | ||
- | </ | ||
- | |||
- | Da dieser Endpunkt weltweit erreichbar sein muss können hier auch Brute-Force-Passwort-Angriffe auftreten. | ||
- | Diesen sollten ebenfalls mithilfe von fail2ban begegnet werden, siehe die fail2ban-Seite in diesem Wiki. | ||
- | |||
- | |||
- | ==== Alternativ: Basic-Auth mithilfe von Tomcat (nicht mehr empfohlen da die Apache-Variante einfacher ist) ==== | ||
- | |||
- | **1. web.xml** (unter / | ||
- | Die beiden Blöcke am Ende ent-kommentieren: | ||
- | authentication" | ||
- | |||
- | **2. Context Fragment in Tomcat-Konfiguration anpassen.** \\ | ||
- | Das sieht dann ungefähr so aus (appName, Pfade etc. ggf. anpassen): | ||
- | |||
- | <file xml / | ||
- | <Context docBase="/ | ||
- | | ||
- | | ||
- | | ||
- | | ||
- | <Realm className=" | ||
- | </ | ||
- | </ | ||
- | |||
- | **3. Tomcat den Pfad zur JAAS login.config als Startparameter mitgeben** (unter Debian in | ||
- | / | ||
- | |||
- | <file bash / | ||
- | JAVA_OPTS=" | ||
- | ..." | ||
- | </ | ||
- | |||
- | **4. / | ||
- | |||
- | ** ACHTUNG: die Java-Klasse ist eine andere als bei der gewohnten login.config des IdP 2.x !!** | ||
- | |||
- | <file javascript / | ||
- | ShibUserPassAuth { | ||
- | | ||
- | ldapUrl=" | ||
- | ssl=" | ||
- | bindDn=" | ||
- | bindCredential=" | ||
- | baseDn=" | ||
- | userFilter=" | ||
- | logCredentials=" | ||
- | ; | ||
- | }; | ||
- | </ | ||
- | |||
- | ===== ECP einschränken auf einzelne SPs ===== | ||
- | |||
- | Wer die ECP-Unterstützung auf einzelne SPs einschränken möchte (nicht empfohlen, aber falls jemand ein | ||
- | Szenario kennt in dem das sinnvoll ist, bitte melden ;-), muss in ''/ | ||
- | [[de: | ||
- | |||
- | <file xml / | ||
- | |||
- | <bean id=" | ||
- | < | ||
- | < | ||
- | <bean parent=" | ||
- | p: | ||
- | p: | ||
- | <ref bean=" | ||
- | <ref bean=" | ||
- | <bean parent=" | ||
- | p: | ||
- | p: | ||
- | <ref bean=" | ||
- | <ref bean=" | ||
- | </ | ||
- | </ | ||
- | </ | ||
- | |||
- | < | ||
- | |||
- | < | ||
- | < | ||
- | < | ||
- | <bean parent=" | ||
- | p: | ||
- | </ | ||
- | </ | ||
- | < | ||
- | < | ||
- | <ref bean=" | ||
- | <ref bean=" | ||
- | <bean parent=" | ||
- | p: | ||
- | p: | ||
- | /> | ||
- | <ref bean=" | ||
- | <ref bean=" | ||
- | </ | ||
- | </ | ||
- | </ | ||
- | |||
- | </ | ||
- | |||
- | </ | ||