Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
de:shibidp3ecp [2020/04/16 08:59] – Silke Meyer | de:shibidp:ecp [2023/03/02 14:40] (aktuell) – Inhalt jetzt nur noch unter de:shibidp:config-ecp Silke Meyer | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== Enhanced Client or Proxy (ECP) ====== | ||
- | Die grundlegenden [[https:// | ||
- | ECP ist im IdP 3.x out-of-the box aktiv. | ||
- | |||
- | Achten Sie darauf, dass das ECP-SSO-Binding des IdPs in den DFN-AAI-Metadaten angegeben ist. Fehlt es, finden ECP-Clients den IdP nicht, wenn Sie sich anmelden wollen. | ||
- | |||
- | {{de: | ||
- | |||
- | Zum Testen eignet sich das vom CILogon Projekt bereitgestellte [[http:// | ||
- | |||
- | Ob die IdP-seitigen Voreinstellungen für den ECP-Support ausreichen, hängt letztlich vom Verhalten der eingesetzten Clients ab, siehe hierzu die [[https:// | ||
- | |||
- | ===== ECP für BWSync& | ||
- | |||
- | Die Im Moment gängigen BW-Sync& | ||
- | mitbringt leider nicht zurecht (Ausnahme: der Powerfolder Iphone-Client scheint zu funktionieren). | ||
- | Der ECP-Endpunkt muss für diese Clients noch explizit mit Basic-Auth geschützt werden. | ||
- | Dies kann mithilfe von Apache oder Tomcat gemacht werden, wobei die Apache-Variante aus unserer Sicht | ||
- | deutlich simpler ist (die Tomcat-Variante finden Sie rechts im Index falls Sie Tomcat ohne Apache betreiben): | ||
- | |||
- | ==== Basic-Auth mithilfe von Apache ==== | ||
- | |||
- | ECP-Endpoint per Basic-Auth schützen: | ||
- | |||
- | <file html / | ||
- | # | ||
- | # Definition des LDAP-Server-Root-CA-Zertifikates | ||
- | # | ||
- | # ACHTUNG: | ||
- | # | ||
- | # - kann nicht innerhalb des VirtualHost stehen | ||
- | # - hier im Beispiel von der DFN-PKI Generation 2, muss zur ROOT-CA des LDAP-Server- | ||
- | # | ||
- | # - stellen Sie sicher dass in / | ||
- | # | ||
- | # | ||
- | LDAPTrustedGlobalCert CA_BASE64 / | ||
- | |||
- | < | ||
- | ServerName | ||
- | ... | ||
- | | ||
- | # ECP-Config für Sync& | ||
- | < | ||
- | AuthType Basic | ||
- | AuthName " | ||
- | AuthBasicProvider ldap | ||
- | AuthLDAPURL " | ||
- | AuthLDAPBindDN " | ||
- | AuthLDAPBindPassword " | ||
- | Require valid-user | ||
- | </ | ||
- | </ | ||
- | </ | ||
- | |||
- | Authentifizierung per LDAP im Apache aktivieren: | ||
- | |||
- | <code bash> | ||
- | root@idp:~# a2enmod authnz_ldap | ||
- | root@idp:~# systemctl reload apache2 | ||
- | </ | ||
- | |||
- | Da dieser Endpunkt weltweit erreichbar sein muss können hier auch Brute-Force-Passwort-Angriffe auftreten. | ||
- | Diesen sollten ebenfalls mithilfe von fail2ban begegnet werden, siehe die fail2ban-Seite in diesem Wiki. | ||
- | |||
- | ==== Probleme mit Sync& | ||
- | |||
- | Ältere Powerfolder-Clients haben Problem bei der ECP-Kommunikation mit dem IdP 3.3.1. | ||
- | |||
- | Powerfolder hat hier im Juni 2017 nachgebesssert, | ||
- | neuesten Client im Einsatz haben damit der Zugriff funktioniert. | ||
- | |||
- | ==== Probleme mit bwLehrpool seit Version 3.3.x ==== | ||
- | |||
- | Auch der bwLehrpool-Client hatte Probleme mit der Kommuniktaion zum IdP 3.3.1 weil ein falschen Content-Type verwendet wurde (http:// | ||
- | |||
- | Sofern Sie noch nicht den neuesten Client in Verwendung haben wenden Sie sich bitte an [[https:// | ||
- | ===== Funktionstest ===== | ||
- | |||
- | Um die grundsätzliche Funktionalität zu testen kann einer der aus der Shibboleth Community bereitgestellten Clients verwendet werden, siehe die [[https:// | ||
- | |||
- | Zunächst die Dokumentation in den ersten Zeilen des Skripts durchlesen und unter ecp_endpoints einen Alias für den zu testenden IdP setzen, z.B. | ||
- | |||
- | < | ||
- | [" | ||
- | </ | ||
- | |||
- | Dann kann der Client mit einem beliebigen (Test-)User (hier: " | ||
- | |||
- | < | ||
- | user@idp:~# ./ecp.sh -d Campus01 https:// | ||
- | </ | ||
- | |||
- | Beim danach erscheinenden Passwort-Prompt das Passwort des (Test-)Users eingeben. Wenn alles funktioniert, | ||
- | |||
- | ===== ECP einschränken auf einzelne SPs ===== | ||
- | |||
- | Wer die ECP-Unterstützung auf einzelne SPs einschränken möchte (aus unserer Sicht nicht nötig und hier nur der Vollständigkeit halber erwähnt, aber falls jemand ein Szenario kennt in dem das sinnvoll ist, bitte melden), muss in ''/ | ||
- | [[de: | ||
- | |||
- | <file xml / | ||
- | |||
- | <bean id=" | ||
- | < | ||
- | < | ||
- | <bean parent=" | ||
- | p: | ||
- | p: | ||
- | <ref bean=" | ||
- | <ref bean=" | ||
- | <bean parent=" | ||
- | p: | ||
- | p: | ||
- | <ref bean=" | ||
- | <ref bean=" | ||
- | </ | ||
- | </ | ||
- | </ | ||
- | |||
- | < | ||
- | |||
- | < | ||
- | < | ||
- | < | ||
- | <bean parent=" | ||
- | p: | ||
- | </ | ||
- | </ | ||
- | < | ||
- | < | ||
- | <ref bean=" | ||
- | <ref bean=" | ||
- | <bean parent=" | ||
- | p: | ||
- | p: | ||
- | /> | ||
- | <ref bean=" | ||
- | <ref bean=" | ||
- | </ | ||
- | </ | ||
- | </ | ||
- | |||
- | </ | ||
- | |||
- | </ | ||
- | |||
- | {{tag> |