Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:shibidp3ecp [2017/03/24 11:16] – Raoul Gunnar Borenius | de:shibidp:ecp [2020/10/14 16:00] – ↷ Seite von de:shibidp3ecp nach de:shibidp:ecp verschoben und umbenannt Silke Meyer | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== Enhanced Client | + | ====== Enhanced Client |
- | ECP ist im IdP 3.x out-of-the box aktiv. | + | Die ECP-Schnittstelle eines IdP ist für die Kommunikation mit nicht-browserbasierten Clients da. Das grundlegende [[https:// |
- | Achten Sie nur darauf dass das ECP-SSO-Binding des IdPs in den DFN-AAI-Metadaten | + | Achten Sie darauf, dass das ECP-SSO-Binding des IdPs in den DFN-AAI-Metadaten angegeben ist. Fehlt es, finden ECP-Clients den IdP nicht, wenn Sie sich anmelden wollen. |
{{de: | {{de: | ||
- | Fehlt dies, finden ECP-Clients den IdP nicht wenn Sie sich anmelden wollen. | ||
- | |||
Zum Testen eignet sich das vom CILogon Projekt bereitgestellte [[http:// | Zum Testen eignet sich das vom CILogon Projekt bereitgestellte [[http:// | ||
+ | Ob die IdP-seitigen Voreinstellungen für den ECP-Support ausreichen, hängt letztlich vom Verhalten der eingesetzten Clients ab, siehe hierzu die [[https:// | ||
- | Siehe auch die [[https:// | + | ===== ECP für BWSync& |
- | Ob die IdP-seitigen Voreinstellungen für den ECP-Support ausreichen, hängt letztlich vom Verhalten | + | Viele BW-Sync& |
- | Vor allem die Sync& | + | ==== Basic-Auth mithilfe von Apache ==== |
- | Um dieses nutzbare | + | |
- | diesem Wiki! | + | ECP-Endpoint per Basic-Auth schützen: |
+ | |||
+ | <file html / | ||
+ | # | ||
+ | # Definition des LDAP-Server-Root-CA-Zertifikates | ||
+ | # | ||
+ | # ACHTUNG: | ||
+ | # | ||
+ | # - kann nicht innerhalb des VirtualHost stehen | ||
+ | # - hier im Beispiel von der DFN-PKI Generation 2, muss zur ROOT-CA des LDAP-Server- | ||
+ | # | ||
+ | # - stellen Sie sicher dass in / | ||
+ | # | ||
+ | # | ||
+ | LDAPTrustedGlobalCert CA_BASE64 / | ||
+ | |||
+ | < | ||
+ | ServerName | ||
+ | ... | ||
+ | |||
+ | # ECP-Config für Sync& | ||
+ | < | ||
+ | AuthType Basic | ||
+ | AuthName " | ||
+ | AuthBasicProvider ldap | ||
+ | AuthLDAPURL " | ||
+ | AuthLDAPBindDN " | ||
+ | AuthLDAPBindPassword " | ||
+ | Require valid-user | ||
+ | </ | ||
+ | </ | ||
+ | </ | ||
+ | |||
+ | Authentifizierung per LDAP im Apache aktivieren: | ||
+ | |||
+ | <code bash> | ||
+ | root@idp:~# a2enmod authnz_ldap | ||
+ | root@idp:~# systemctl reload apache2 | ||
+ | </ | ||
+ | |||
+ | Da dieser Endpunkt weltweit erreichbar sein muss, können hier auch Brute-Force-Passwort-Angriffe auftreten. Diesen sollten ebenfalls mithilfe von fail2ban begegnet werden, siehe die fail2ban-Seite in diesem Wiki. | ||
+ | |||
+ | ===== Funktionstest ===== | ||
+ | |||
+ | Um die grundsätzliche Funktionalität | ||
+ | |||
+ | Zunächst die Dokumentation | ||
+ | |||
+ | < | ||
+ | [" | ||
+ | </ | ||
+ | |||
+ | Dann kann der Client mit einem beliebigen (Test-)User (hier: " | ||
+ | |||
+ | < | ||
+ | user@idp:~# ./ecp.sh -d Campus01 https:// | ||
+ | </ | ||
+ | |||
+ | Beim danach erscheinenden Passwort-Prompt das Passwort des (Test-)Users eingeben. Wenn alles funktioniert, | ||
===== ECP einschränken auf einzelne SPs ===== | ===== ECP einschränken auf einzelne SPs ===== | ||
- | Wer die ECP-Unterstützung auf einzelne SPs einschränken möchte (nicht empfohlen, | + | Aus unserer Sicht ist es nicht nötig, |
- | Szenario kennt in dem das sinnvoll ist, bitte melden ;-), muss in ''/ | + | |
- | [[de: | + | Kommentieren Sie ''/ |
+ | |||
+ | Hier ein Beispiel für bwIDM: | ||
<file xml / | <file xml / | ||
Zeile 72: | Zeile 131: | ||
</ | </ | ||
+ | {{tag> |