Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- de:shibidp:install [2024/07/05 15:52] – [Vorbereitung der IdP-Metadaten] Doreen Liebenau
+++ de:shibidp:install [2025/07/10 15:07] (aktuell) – [IdP Status URL freigeben] Raoul Gunnar Borenius
@@ Zeile 27: / Zeile 27: @@
 <code bash>
 root@idp:~# gpg --import /opt/install/PGP_KEYS
+root@idp:~# gpg --verify /opt/install/shibboleth-identity-provider-5.x.x.tar.gz.asc /opt/install/shibboleth-identity-provider-5.x.x.tar.gz
 gpg: Signature made Mon 15 Apr 2024 06:03:42 PM CEST
 gpg:                using RSA key 7D27E610B8A3DC52
@@ Zeile 34: / Zeile 35: @@
 gpg:          There is no indication that the signature belongs to the owner.
 Primary key fingerprint: B5B5 DD33 2142 AD65 7E8D  87AC 7D27 E610 B8A3 DC52
-root@idp:~# gpg --verify /opt/install/shibboleth-identity-provider-5.x.x.tar.gz.asc /opt/install/shibboleth-identity-provider-5.x.x.tar.gz
 </code>
 Entscheiden ist hier "Good signature". Die Warnung "This key is not certified with a trusted signature!" können Sie ignorieren.
@@ Zeile 106: / Zeile 106: @@
 </callout>
-Zur Darstellung der Status-Seite muss
+Zur Darstellung der Status-Seite muss eine aktuelle Version der Jakarta JSTL eingebunden werden:
-  * die Java Standard Tag Library (JSTL) im Tomcat bereit stehen (siehe [[de:shibidp:prepare-tomcat#java_standard_tag_library_jstl|Vorarbeiten]]).
-  * eine aktuelle Version der Jakarta JSTL eingebunden werden:
 <code bash>
 # Download
 root@idp:~# wget -P /opt/shibboleth-idp/edit-webapp/WEB-INF/lib/ https://repo.maven.apache.org/maven2/org/glassfish/web/jakarta.servlet.jsp.jstl/3.0.1/jakarta.servlet.jsp.jstl-3.0.1.jar
-root@idp:~# wget -P /opt/shibboleth-idp/edit-webapp/WEB-INF/lib/ https://repo.maven.apache.org/maven2/jakarta/servlet/jsp/jstl/jakarta.servlet.jsp.jstl-api/3.0.0/jakarta.servlet.jsp.jstl-api-3.0.0.jar
+root@idp:~# wget -P /opt/shibboleth-idp/edit-webapp/WEB-INF/lib/ https://repo.maven.apache.org/maven2/jakarta/servlet/jsp/jstl/jakarta.servlet.jsp.jstl-api/3.0.2/jakarta.servlet.jsp.jstl-api-3.0.2.jar
 # build erneut ausführen
 root@idp:~# sudo /opt/shibboleth-idp/bin/build.sh -Didp.target.dir=/opt/shibboleth-idp
@@ Zeile 119: / Zeile 116: @@
 root@idp:~# sudo systemctl restart tomcat10.service
 </code>
-  * die IdP Status URL für Ihr eigenes Netz und das Monitoring-Netz des DFN freigegeben werden. Damit das DFN-AAI-Monitoring nur auf die Status-Seite zugreifen kann, erstellen Sie eine separates ''<entry>'' Element mit der id ''StatusAccessByIPAddress'':
+  * die IdP Status URL für Ihr eigenes Netz und das Monitoring-Netz des DFN freigegeben werden. Damit das DFN-AAI-Monitoring nur auf die Status-Seite zugreifen kann, erstellen Sie eine separates ''<entry>'' Element mit der id ''**Status**AccessByIPAddress'':
 <file xml /opt/shibboleth-idp/conf/access-control.xml>
@@ Zeile 131: / Zeile 128: @@
         <entry key="StatusAccessByIPAddress">
             <bean parent="shibboleth.IPRangeAccessControl"
-                p:allowedRanges="#{ {'127.0.0.1/32', '::1/128', 'IHR-NETZ/IHRE-NETZMASKE', '193.174.247.0/24', '194.95.243.0/24', '194.95.244.0/24', '194.95.242.0/24', '2001:638:206:1::/64'} }" />
+                p:allowedRanges="#{ {
+                      '127.0.0.1/32', '::1/128',
+                      'IHR-NETZ/IHRE-NETZMASKE',
+                      '193.174.247.0/24', '2001:638:206:1::/64',
+                      '194.95.242.0/24', '2001:638:d:c002::/64',
+                      '194.95.243.0/24', '2001:638:d:c003::/64',
+                      '194.95.244.0/24', '2001:638:d:c004::/64'
+                } }" />
         </entry>
     </util:map>
@@ Zeile 138: / Zeile 142: @@
 </file>
-Dieser Eintrag muss dann noch in ''conf/admin/admin.properties'' der Status-Seite zugewiesen werden:
+Das default-''<entry>'' Element mit der id ''AccessByIPAddress'' (ohne "Status") bleibt bestehen. Mit diesem regeln Sie den Zugriff auf die Authentifizierungsdienste des IdP. Welche Properties dies betrifft, wird in ''conf/admin/admin.properties'' festgelegt.
+Der Eintrag des separaten ''<entry>'' Elements muss dann noch in ''conf/admin/admin.properties'' der Status-Seite zugewiesen werden:
 <file properties ./conf/admin/admin.properties>
-idp.status.accessPolicy=AccessByIPAddress
+idp.status.accessPolicy=StatusAccessByIPAddress
 </file>
+\\
 ===== Tomcat-Neustart und erster Test =====
@@ Zeile 172: / Zeile 181: @@
 ====== Vorbereitung der IdP-Metadaten ======
-Die Metadatenverwaltung der DFN-AAI kann die Metadaten Ihres IdP einlesen. Das verringert den Aufwand beim Eintragen der IdP-Metadaten. Ein Nachtragen, z.B. des Logos ist jedoch auch im Nachhinein in der Metadatenverwaltung möglich. Wir empfehlen, vor dem initialen Registrieren des IdPs in ''./metadata/idp-metadata.xml'' die fehlenden Einträge zu aktivieren, damit die Felder in der Metadatenverwaltung ausgefüllt werden können. Im Folgenden sind nur die relevanten Ausschnitte angegeben:
+Die Metadatenverwaltung der DFN-AAI kann die Metadaten Ihres IdP einlesen. Das verringert den Aufwand beim Eintragen der IdP-Metadaten. Ein Nachtragen, z.B. des Logos ist jedoch auch im Nachhinein in der Metadatenverwaltung möglich. Weitere Hilfe zum Ausfüllen der Metadaten finden Sie in unserer [[de:checklist|Checkliste]]. Wir empfehlen, vor dem initialen Registrieren des IdPs in ''./metadata/idp-metadata.xml'' die fehlenden Einträge zu aktivieren, damit die Felder in der Metadatenverwaltung ausgefüllt werden können. Im Folgenden sind nur die relevanten Ausschnitte angegeben:
 <code xml ./metadata/idp-metadata.xml>
@@ Zeile 239: / Zeile 248: @@
 </callout>
-{{tag>idp4 tutorial included-in-ansible}}
+{{tag>idp5 tutorial included-in-ansible}}

idp5 tutorial included-in-ansible