Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision | ||
de:shibidp3ecp [2017/03/24 11:21] – Raoul Gunnar Borenius | de:shibidp:ecp [2021/04/26 15:17] – idp3 tag entfernt Silke Meyer | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== Enhanced Client | + | ====== Enhanced Client |
- | ECP ist im IdP 3.x out-of-the box aktiv. | + | Die ECP-Schnittstelle eines IdP ist für die Kommunikation mit nicht-browserbasierten Clients da. Das grundlegende [[https:// |
- | Achten Sie nur darauf dass das ECP-SSO-Binding des IdPs in den DFN-AAI-Metadaten | + | Achten Sie darauf, dass das ECP-SSO-Binding des IdPs in den DFN-AAI-Metadaten angegeben ist. Fehlt es, finden ECP-Clients den IdP nicht, wenn Sie sich anmelden wollen. |
{{de: | {{de: | ||
- | Fehlt dies, finden ECP-Clients den IdP nicht wenn Sie sich anmelden wollen. | ||
- | |||
Zum Testen eignet sich das vom CILogon Projekt bereitgestellte [[http:// | Zum Testen eignet sich das vom CILogon Projekt bereitgestellte [[http:// | ||
- | |||
- | |||
- | Siehe auch die [[https:// | ||
Ob die IdP-seitigen Voreinstellungen für den ECP-Support ausreichen, hängt letztlich vom Verhalten der eingesetzten Clients ab, siehe hierzu die [[https:// | Ob die IdP-seitigen Voreinstellungen für den ECP-Support ausreichen, hängt letztlich vom Verhalten der eingesetzten Clients ab, siehe hierzu die [[https:// | ||
Zeile 18: | Zeile 13: | ||
===== ECP für BWSync& | ===== ECP für BWSync& | ||
- | Die Im Moment gängigen | + | Viele BW-Sync& |
- | mitbringt leider | + | |
- | werden. Dies kann mithilfe von Apache oder Tomcat gemacht werden, wobei die Apache variante aus unserer Sicht | + | |
- | deutlich | + | |
==== Basic-Auth mithilfe von Apache ==== | ==== Basic-Auth mithilfe von Apache ==== | ||
Zeile 28: | Zeile 20: | ||
<file html / | <file html / | ||
+ | # | ||
+ | # Definition des LDAP-Server-Root-CA-Zertifikates | ||
+ | # | ||
+ | # ACHTUNG: | ||
+ | # | ||
+ | # - kann nicht innerhalb des VirtualHost stehen | ||
+ | # - hier im Beispiel von der DFN-PKI Generation 2, muss zur ROOT-CA des LDAP-Server- | ||
+ | # | ||
+ | # - stellen Sie sicher dass in / | ||
+ | # | ||
+ | # | ||
LDAPTrustedGlobalCert CA_BASE64 / | LDAPTrustedGlobalCert CA_BASE64 / | ||
+ | |||
< | < | ||
ServerName | ServerName | ||
Zeile 53: | Zeile 57: | ||
</ | </ | ||
- | Da dieser Endpunkt weltweit erreichbar sein muss können hier auch Brute-Force-Passwort-Angriffe auftreten. | + | Da dieser Endpunkt weltweit erreichbar sein muss, können hier auch Brute-Force-Passwort-Angriffe auftreten. Diesen sollten ebenfalls mithilfe von fail2ban begegnet werden, siehe die fail2ban-Seite in diesem Wiki. |
- | Diesen sollten ebenfalls mithilfe von fail2ban begegnet werden, siehe die fail2ban-Seite in diesem Wiki. | + | |
+ | ===== Funktionstest ===== | ||
- | ==== Alternativ: Basic-Auth mithilfe von Tomcat (nicht mehr empfohlen da die Apache-Variante einfacher ist) ==== | + | Um die grundsätzliche Funktionalität zu testen kann einer der aus der Shibboleth Community bereitgestellten Clients verwendet werden, siehe die [[https:// |
- | **1. web.xml** (unter / | + | Zunächst die Dokumentation in den ersten Zeilen des Skripts durchlesen und unter ecp_endpoints einen Alias für den zu testenden IdP setzen, z.B. |
- | Die beiden Blöcke am Ende ent-kommentieren: | + | |
- | authentication" | + | |
- | **2. Context Fragment in Tomcat-Konfiguration anpassen.** \\ | + | < |
- | Das sieht dann ungefähr so aus (appName, Pfade etc. ggf. anpassen): | + | [" |
+ | </ | ||
- | <file xml / | + | Dann kann der Client mit einem beliebigen (Test-)User (hier: |
- | <Context docBase="/ | + | |
- | | + | |
- | | + | |
- | | + | |
- | | + | |
- | <Realm className=" | + | |
- | </ | + | |
- | </ | + | |
- | **3. Tomcat den Pfad zur JAAS login.config als Startparameter mitgeben** (unter Debian in | + | < |
- | /etc/default/tomcat8): | + | user@idp: |
+ | </ | ||
- | <file bash / | + | Beim danach erscheinenden Passwort-Prompt das Passwort des (Test-)Users eingeben. Wenn alles funktioniert, |
- | JAVA_OPTS=" | + | |
- | ..." | + | |
- | </ | + | |
- | **4. / | + | ===== ECP einschränken auf einzelne SPs ===== |
- | ** ACHTUNG: | + | Aus unserer Sicht ist es nicht nötig, |
- | <file javascript | + | Kommentieren Sie '' |
- | ShibUserPassAuth { | + | |
- | | + | |
- | ldapUrl=" | + | |
- | ssl=" | + | |
- | bindDn=" | + | |
- | bindCredential=" | + | |
- | baseDn=" | + | |
- | userFilter=" | + | |
- | logCredentials=" | + | |
- | ; | + | |
- | }; | + | |
- | </file> | + | |
- | + | ||
- | + | ||
- | ==== Probleme mit Sync& | + | |
- | + | ||
- | Aus Bayern haben wir Probleme mit dem Zugriff auf den bayerischen Sync& | + | |
- | auf IdP 3.3 gemeldet bekommen und geben den Workaround ungetestet weiter: | + | |
- | + | ||
- | Das Leibniz-Rechenzentrum hat einen Workaround erarbeitet. Im idp-process.log sieht man | + | |
- | bei dem Fehler folgende Einträge: | + | |
- | + | ||
- | 522 - WARN [org.opensaml.soap.soap11.decoder.http.impl.HTTPSOAP11Decoder: | + | |
- | unsupported request Content-Type: | + | |
- | 523 - ERROR [org.opensaml.profile.action.impl.DecodeMessage: | + | |
- | DecodeMessage: | + | |
- | org.opensaml.messaging.decoder.MessageDecodingException: | + | |
- | charset=ISO-8859-1' | + | |
- | org.opensaml.soap.soap11.decoder.http.impl.HTTPSOAP11Decoder.validateHttpRequest(HTTPSOAP11Decoder.j | + | |
- | ava:147 | + | |
- | + | ||
- | + | ||
- | Problem ist die " | + | |
- | Content-Type-Prüfung durchgeführt, | + | |
- | + | ||
- | Man kann entweder wieder auf IdP 3.2.x zurückgehen oder als Workaround die " | + | |
- | opensaml-soap-impl-3.3.0.jar (unter ../ | + | |
- | opensaml-soap-impl-3.2.0.jar (welche im " | + | |
- | ../ | + | |
- | einen ./build.sh durchführen und die Anmeldung sollte wieder funktionieren. Dieser | + | |
- | Workaround ist natürlich auf eigene Gefahr! | + | |
- | + | ||
- | ===== ECP einschränken auf einzelne SPs ===== | + | |
- | Wer die ECP-Unterstützung auf einzelne SPs einschränken möchte (aus unserer Sicht nicht nötig und hier nur der Vollstándigkeit halber erwähnt, aber falls jemand ein Szenario kennt in dem das sinnvoll ist, bitte melden ;-), muss in ''/ | + | Hier ein Beispiel für bwIDM: |
- | [[de: | + | |
<file xml / | <file xml / | ||
Zeile 182: | Zeile 131: | ||
</ | </ | ||
+ | {{tag> |