Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
de:shibidp3ecp [2020/05/14 09:19] – Silke Meyer | de:shibidp:ecp [2023/03/02 14:40] (aktuell) – Inhalt jetzt nur noch unter de:shibidp:config-ecp Silke Meyer | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== Enhanced Client or Proxy (ECP) ====== | ||
- | Die grundlegenden [[https:// | ||
- | ECP ist im IdP standardmäßig aktiv. | ||
- | |||
- | Achten Sie darauf, dass das ECP-SSO-Binding des IdPs in den DFN-AAI-Metadaten angegeben ist. Fehlt es, finden ECP-Clients den IdP nicht, wenn Sie sich anmelden wollen. | ||
- | |||
- | {{de: | ||
- | |||
- | Zum Testen eignet sich das vom CILogon Projekt bereitgestellte [[http:// | ||
- | |||
- | Ob die IdP-seitigen Voreinstellungen für den ECP-Support ausreichen, hängt letztlich vom Verhalten der eingesetzten Clients ab, siehe hierzu die [[https:// | ||
- | |||
- | ===== ECP für BWSync& | ||
- | |||
- | Viele BW-Sync& | ||
- | |||
- | ==== Basic-Auth mithilfe von Apache ==== | ||
- | |||
- | ECP-Endpoint per Basic-Auth schützen: | ||
- | |||
- | <file html / | ||
- | # | ||
- | # Definition des LDAP-Server-Root-CA-Zertifikates | ||
- | # | ||
- | # ACHTUNG: | ||
- | # | ||
- | # - kann nicht innerhalb des VirtualHost stehen | ||
- | # - hier im Beispiel von der DFN-PKI Generation 2, muss zur ROOT-CA des LDAP-Server- | ||
- | # | ||
- | # - stellen Sie sicher dass in / | ||
- | # | ||
- | # | ||
- | LDAPTrustedGlobalCert CA_BASE64 / | ||
- | |||
- | < | ||
- | ServerName | ||
- | ... | ||
- | | ||
- | # ECP-Config für Sync& | ||
- | < | ||
- | AuthType Basic | ||
- | AuthName " | ||
- | AuthBasicProvider ldap | ||
- | AuthLDAPURL " | ||
- | AuthLDAPBindDN " | ||
- | AuthLDAPBindPassword " | ||
- | Require valid-user | ||
- | </ | ||
- | </ | ||
- | </ | ||
- | |||
- | Authentifizierung per LDAP im Apache aktivieren: | ||
- | |||
- | <code bash> | ||
- | root@idp:~# a2enmod authnz_ldap | ||
- | root@idp:~# systemctl reload apache2 | ||
- | </ | ||
- | |||
- | Da dieser Endpunkt weltweit erreichbar sein muss, können hier auch Brute-Force-Passwort-Angriffe auftreten. Diesen sollten ebenfalls mithilfe von fail2ban begegnet werden, siehe die fail2ban-Seite in diesem Wiki. | ||
- | |||
- | ===== Funktionstest ===== | ||
- | |||
- | Um die grundsätzliche Funktionalität zu testen kann einer der aus der Shibboleth Community bereitgestellten Clients verwendet werden, siehe die [[https:// | ||
- | |||
- | Zunächst die Dokumentation in den ersten Zeilen des Skripts durchlesen und unter ecp_endpoints einen Alias für den zu testenden IdP setzen, z.B. | ||
- | |||
- | < | ||
- | [" | ||
- | </ | ||
- | |||
- | Dann kann der Client mit einem beliebigen (Test-)User (hier: " | ||
- | |||
- | < | ||
- | user@idp:~# ./ecp.sh -d Campus01 https:// | ||
- | </ | ||
- | |||
- | Beim danach erscheinenden Passwort-Prompt das Passwort des (Test-)Users eingeben. Wenn alles funktioniert, | ||
- | |||
- | ===== ECP einschränken auf einzelne SPs ===== | ||
- | |||
- | Aus unserer Sicht ist es nicht nötig, die ECP-Unterstützung auf einzelne SPs einzuschränken. Der Vollständigkeit halber sei hier aber erwähnt, wie das geht: | ||
- | |||
- | Kommentieren Sie ''/ | ||
- | |||
- | Hier ein Beispiel für bwIDM: | ||
- | |||
- | <file xml / | ||
- | |||
- | <bean id=" | ||
- | < | ||
- | < | ||
- | <bean parent=" | ||
- | p: | ||
- | p: | ||
- | <ref bean=" | ||
- | <ref bean=" | ||
- | <bean parent=" | ||
- | p: | ||
- | p: | ||
- | <ref bean=" | ||
- | <ref bean=" | ||
- | </ | ||
- | </ | ||
- | </ | ||
- | |||
- | < | ||
- | |||
- | < | ||
- | < | ||
- | < | ||
- | <bean parent=" | ||
- | p: | ||
- | </ | ||
- | </ | ||
- | < | ||
- | < | ||
- | <ref bean=" | ||
- | <ref bean=" | ||
- | <bean parent=" | ||
- | p: | ||
- | p: | ||
- | /> | ||
- | <ref bean=" | ||
- | <ref bean=" | ||
- | </ | ||
- | </ | ||
- | </ | ||
- | |||
- | </ | ||
- | |||
- | </ | ||
- | |||
- | {{tag> |