Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung		 Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:shibidp:prepare-http [2020/04/06 15:05] – angelegt Silke Meyerde:shibidp:prepare-http [2020/04/16 08:50] Silke Meyer
Zeile 1: Zeile 1:
-====== IdP-Vorarbeiten: HTTP-Server ======+====== IdP-Vorarbeiten: Webserver ======
  
-<callout type="danger" title="Firewall">+<callout color="#ff9900" title="Firewall">
 Die TCP-Ports 443 und 8443 müssen auf dem IdP für eingehende Zugriffe geöffnet sein! Die TCP-Ports 443 und 8443 müssen auf dem IdP für eingehende Zugriffe geöffnet sein!
 </callout> </callout>
Zeile 18: Zeile 18:
  
 <code bash> <code bash>
-yum -y install httpd mod_ssl+root@idp:~# yum -y install httpd mod_ssl
 </code> </code>
  
Zeile 28: Zeile 28:
  
 <code bash> <code bash>
-root@idp:~# a2enmod ssl +root@idp:~# a2enmod ssl headers proxy proxy_ajp
-root@idp:~# a2enmod headers +
-root@idp:~# a2enmod proxy +
-root@idp:~# a2enmod proxy_ajp+
 </code> </code>
  
Zeile 131: Zeile 128:
  
 <code apache conf/httpd.conf> <code apache conf/httpd.conf>
-# 
-# This is the main Apache HTTP server configuration file.  It contains the 
-# configuration directives that give the server its instructions. 
-# See <URL:http://httpd.apache.org/docs/2.4/> for detailed information. 
-# In particular, see  
-# <URL:http://httpd.apache.org/docs/2.4/mod/directives.html> 
-# for a discussion of each configuration directive. 
-# 
  
-# ServerRoot: The top of the directory tree under which the server's 
-# configuration, error, and log files are kept. 
-# 
-# Do not add a slash at the end of the directory path.  If you point 
-# ServerRoot at a non-local disk, be sure to specify a local disk on the 
-# Mutex directive, if file-based mutexes are used.  If you wish to share the 
-# same ServerRoot for multiple httpd daemons, you will need to change at 
-# least PidFile. 
-# 
 ServerRoot "C:/Program Files/Apache/Apache24" ServerRoot "C:/Program Files/Apache/Apache24"
- 
  
 # #
Zeile 164: Zeile 143:
  
 LoadModule proxy_module modules/mod_proxy.so LoadModule proxy_module modules/mod_proxy.so
-#LoadModule proxy_http_module modules/mod_proxy_ajp.so 
 LoadModule proxy_http_module modules/mod_proxy_http.so LoadModule proxy_http_module modules/mod_proxy_http.so
  
Zeile 174: Zeile 152:
 ServerName shib.uni-mainz.de ServerName shib.uni-mainz.de
  
-# 
 # Deny access to the entirety of your server's filesystem. You must # Deny access to the entirety of your server's filesystem. You must
 # explicitly permit access to web content directories in other  # explicitly permit access to web content directories in other 
 # <Directory> blocks below. # <Directory> blocks below.
-#+
 <Directory /> <Directory />
     AllowOverride none     AllowOverride none
Zeile 187: Zeile 164:
 <Directory "c:/inetpub/shib.uni-mainz.de"> <Directory "c:/inetpub/shib.uni-mainz.de">
     Options None     Options None
- 
     AllowOverride None     AllowOverride None
     Require all granted     Require all granted
Zeile 212: Zeile 188:
 </code>  </code> 
 <code apache conf/extra/httpd-ssl.conf> <code apache conf/extra/httpd-ssl.conf>
-## 
-##  SSL Global Context 
-## 
-##  All SSL configuration in this context applies both to 
-##  the main server and all SSL-enabled virtual hosts. 
-## 
  
-# 
-#   Some MIME-types for downloading Certificates and CRLs 
-# 
 AddType application/x-x509-ca-cert .crt AddType application/x-x509-ca-cert .crt
 AddType application/x-pkcs7-crl    .crl AddType application/x-pkcs7-crl    .crl
Zeile 301: Zeile 268:
 </code> </code>
  
-==== Testen der Verbindung Apache --> Tomcat ====+===== Testen der Verbindung Apache --> Tomcat =====
  
 Liest der Apache seine Config ohne Fehler ein, testen Sie bitte als nächstes die Weiterleitung von Apache auf den Tomcat indem Sie folgende URL aufrufen: Liest der Apache seine Config ohne Fehler ein, testen Sie bitte als nächstes die Weiterleitung von Apache auf den Tomcat indem Sie folgende URL aufrufen:
Zeile 309: Zeile 276:
  
 Funktioniert die Weiterleitung, dann bekommen Sie eine Fehlermeldung "HTTP Status 404 - /idp/" oder (je nach Tomcat-Version) eine weiße Seite vom Tomcat zu sehen, da das IdP-Servlet im Tomcat noch nicht aktiv ist. Die Weiterleitung ist damit aber erfolgreich getestet! Funktioniert die Weiterleitung, dann bekommen Sie eine Fehlermeldung "HTTP Status 404 - /idp/" oder (je nach Tomcat-Version) eine weiße Seite vom Tomcat zu sehen, da das IdP-Servlet im Tomcat noch nicht aktiv ist. Die Weiterleitung ist damit aber erfolgreich getestet!
-Kommt eine Apache-Fehlermeldung (diese sollte dann auch im obigen Apache-Log erscheinen) dann stimmt die Apache-Configuration noch nichtBitte dann nochmal obige Punkte sorgfältig durchgehen.+Kommt eine Apache-Fehlermeldungdann stimmt die Apache-Konfiguration noch nichtBitte dann nochmal obige Punkte sorgfältig durchgehen.
  
 Anmerkungen: Anmerkungen:
-  * Achten Sie bitte darauf, dass sich die SSL-Direktiven tatsächlich in einem VirtualHost-Kontext befinden und **nicht** im Location-Kontext. (Mehr dazu im [[https://www.aai.dfn.de/aktuelles/newsansicht/article/emfohlene-konfigurationsaenderung-fuer-den-shibboleth-idp-83/|Archiv]]). + 
-  * stellen Sie sicher dass die Apache-SSL-Konfiguration aktuellen Sicherheitsstandards entspricht! Details dazu übersteigen den Rahmen diese Anleitung. Hilfreiche Seiten:+  * Bitte stellen Sie sicher dass die Apache-SSL-Konfiguration aktuellen Sicherheitsstandards entspricht! Details dazu übersteigen den Rahmen diese Anleitung. Hilfreiche Seiten:
     * [[https://ssl-config.mozilla.org/]]     * [[https://ssl-config.mozilla.org/]]
     * [[https://www.dfn-cert.de/]]     * [[https://www.dfn-cert.de/]]
-    * https://blog.pki.dfn.de/2015/03/mehr-privacy-fuer-den-nutzer-ocsp-stapling/]] 
     * [[https://blog.pki.dfn.de/]]     * [[https://blog.pki.dfn.de/]]
     * [[https://www.ssllabs.com/ssltest/]]     * [[https://www.ssllabs.com/ssltest/]]
  
-Weiter geht es mit [[de:shibidp3install|Installation Shibboleth IdP]]+Weiter geht es mit der [[de:shibidp:install|Installation des Shibboleth IdP]]
 + 
 +{{tag>idp4 tutorial}}
  • Zuletzt geändert: vor 22 Monaten