Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
de:shibidp:install [2024/07/05 15:52] – [Vorbereitung der IdP-Metadaten] Doreen Liebenaude:shibidp:install [2025/03/10 11:52] (aktuell) – Tag geändert Doreen Liebenau
Zeile 27: Zeile 27:
 <code bash> <code bash>
 root@idp:~# gpg --import /opt/install/PGP_KEYS root@idp:~# gpg --import /opt/install/PGP_KEYS
 +root@idp:~# gpg --verify /opt/install/shibboleth-identity-provider-5.x.x.tar.gz.asc /opt/install/shibboleth-identity-provider-5.x.x.tar.gz
 gpg: Signature made Mon 15 Apr 2024 06:03:42 PM CEST gpg: Signature made Mon 15 Apr 2024 06:03:42 PM CEST
 gpg:                using RSA key 7D27E610B8A3DC52 gpg:                using RSA key 7D27E610B8A3DC52
Zeile 34: Zeile 35:
 gpg:          There is no indication that the signature belongs to the owner. gpg:          There is no indication that the signature belongs to the owner.
 Primary key fingerprint: B5B5 DD33 2142 AD65 7E8D  87AC 7D27 E610 B8A3 DC52 Primary key fingerprint: B5B5 DD33 2142 AD65 7E8D  87AC 7D27 E610 B8A3 DC52
-root@idp:~# gpg --verify /opt/install/shibboleth-identity-provider-5.x.x.tar.gz.asc /opt/install/shibboleth-identity-provider-5.x.x.tar.gz 
 </code> </code>
 Entscheiden ist hier "Good signature". Die Warnung "This key is not certified with a trusted signature!" können Sie ignorieren.  Entscheiden ist hier "Good signature". Die Warnung "This key is not certified with a trusted signature!" können Sie ignorieren. 
Zeile 106: Zeile 106:
 </callout> </callout>
  
-Zur Darstellung der Status-Seite muss +Zur Darstellung der Status-Seite muss eine aktuelle Version der Jakarta JSTL eingebunden werden:
- +
-  * die Java Standard Tag Library (JSTL) im Tomcat bereit stehen (siehe [[de:shibidp:prepare-tomcat#java_standard_tag_library_jstl|Vorarbeiten]]).  +
-  * eine aktuelle Version der Jakarta JSTL eingebunden werden:+
 <code bash> <code bash>
 # Download # Download
 root@idp:~# wget -P /opt/shibboleth-idp/edit-webapp/WEB-INF/lib/ https://repo.maven.apache.org/maven2/org/glassfish/web/jakarta.servlet.jsp.jstl/3.0.1/jakarta.servlet.jsp.jstl-3.0.1.jar root@idp:~# wget -P /opt/shibboleth-idp/edit-webapp/WEB-INF/lib/ https://repo.maven.apache.org/maven2/org/glassfish/web/jakarta.servlet.jsp.jstl/3.0.1/jakarta.servlet.jsp.jstl-3.0.1.jar
-root@idp:~# wget -P /opt/shibboleth-idp/edit-webapp/WEB-INF/lib/ https://repo.maven.apache.org/maven2/jakarta/servlet/jsp/jstl/jakarta.servlet.jsp.jstl-api/3.0.0/jakarta.servlet.jsp.jstl-api-3.0.0.jar+root@idp:~# wget -P /opt/shibboleth-idp/edit-webapp/WEB-INF/lib/ https://repo.maven.apache.org/maven2/jakarta/servlet/jsp/jstl/jakarta.servlet.jsp.jstl-api/3.0.2/jakarta.servlet.jsp.jstl-api-3.0.2.jar
 # build erneut ausführen # build erneut ausführen
 root@idp:~# sudo /opt/shibboleth-idp/bin/build.sh -Didp.target.dir=/opt/shibboleth-idp   root@idp:~# sudo /opt/shibboleth-idp/bin/build.sh -Didp.target.dir=/opt/shibboleth-idp  
Zeile 119: Zeile 116:
 root@idp:~# sudo systemctl restart tomcat10.service  root@idp:~# sudo systemctl restart tomcat10.service 
 </code> </code>
-  * die IdP Status URL für Ihr eigenes Netz und das Monitoring-Netz des DFN freigegeben werden. Damit das DFN-AAI-Monitoring nur auf die Status-Seite zugreifen kann, erstellen Sie eine separates ''<entry>'' Element mit der id ''StatusAccessByIPAddress'': +  * die IdP Status URL für Ihr eigenes Netz und das Monitoring-Netz des DFN freigegeben werden. Damit das DFN-AAI-Monitoring nur auf die Status-Seite zugreifen kann, erstellen Sie eine separates ''<entry>'' Element mit der id ''**Status**AccessByIPAddress'': 
  
 <file xml /opt/shibboleth-idp/conf/access-control.xml> <file xml /opt/shibboleth-idp/conf/access-control.xml>
Zeile 138: Zeile 135:
 </file> </file>
  
-Dieser Eintrag muss dann noch in ''conf/admin/admin.properties'' der Status-Seite zugewiesen werden:+Das default-''<entry>'' Element mit der id ''AccessByIPAddress'' (ohne "Status") bleibt bestehen. Mit diesem regeln Sie den Zugriff auf die Authentifizierungsdienste des IdP. Welche Properties dies betrifft, wird in ''conf/admin/admin.properties'' festgelegt. 
 + 
 +Der Eintrag des separaten ''<entry>'' Elements muss dann noch in ''conf/admin/admin.properties'' der Status-Seite zugewiesen werden:
  
 <file properties ./conf/admin/admin.properties> <file properties ./conf/admin/admin.properties>
-idp.status.accessPolicy=AccessByIPAddress+idp.status.accessPolicy=StatusAccessByIPAddress
 </file> </file>
 +
 +\\
 +
  
 ===== Tomcat-Neustart und erster Test ===== ===== Tomcat-Neustart und erster Test =====
Zeile 172: Zeile 174:
 ====== Vorbereitung der IdP-Metadaten ====== ====== Vorbereitung der IdP-Metadaten ======
  
-Die Metadatenverwaltung der DFN-AAI kann die Metadaten Ihres IdP einlesen. Das verringert den Aufwand beim Eintragen der IdP-Metadaten. Ein Nachtragen, z.B. des Logos ist jedoch auch im Nachhinein in der Metadatenverwaltung möglich. Wir empfehlen, vor dem initialen Registrieren des IdPs in ''./metadata/idp-metadata.xml'' die fehlenden Einträge zu aktivieren, damit die Felder in der Metadatenverwaltung ausgefüllt werden können. Im Folgenden sind nur die relevanten Ausschnitte angegeben:+Die Metadatenverwaltung der DFN-AAI kann die Metadaten Ihres IdP einlesen. Das verringert den Aufwand beim Eintragen der IdP-Metadaten. Ein Nachtragen, z.B. des Logos ist jedoch auch im Nachhinein in der Metadatenverwaltung möglich. Weitere Hilfe zum Ausfüllen der Metadaten finden Sie in unserer [[de:checklist|Checkliste]]. Wir empfehlen, vor dem initialen Registrieren des IdPs in ''./metadata/idp-metadata.xml'' die fehlenden Einträge zu aktivieren, damit die Felder in der Metadatenverwaltung ausgefüllt werden können. Im Folgenden sind nur die relevanten Ausschnitte angegeben:
  
 <code xml ./metadata/idp-metadata.xml> <code xml ./metadata/idp-metadata.xml>
Zeile 239: Zeile 241:
 </callout> </callout>
  
-{{tag>idp4 tutorial included-in-ansible}}+{{tag>idp5 tutorial included-in-ansible}}
  • Zuletzt geändert: vor 8 Monaten