Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung
Vorhergehende Überarbeitung
de:shibidp:prepare-http [2020/04/06 15:05]
Silke Meyer angelegt
de:shibidp:prepare-http [2020/04/16 08:50] (aktuell)
Silke Meyer
Zeile 1: Zeile 1:
-====== IdP-Vorarbeiten: ​HTTP-Server ​======+====== IdP-Vorarbeiten: ​Webserver ​======
  
-<​callout ​type="danger" title="​Firewall">​+<​callout ​color="#ff9900" title="​Firewall">​
 Die TCP-Ports 443 und 8443 müssen auf dem IdP für eingehende Zugriffe geöffnet sein! Die TCP-Ports 443 und 8443 müssen auf dem IdP für eingehende Zugriffe geöffnet sein!
 </​callout>​ </​callout>​
Zeile 18: Zeile 18:
  
 <code bash> <code bash>
-yum -y install httpd mod_ssl+root@idp:​~# ​yum -y install httpd mod_ssl
 </​code>​ </​code>​
  
Zeile 28: Zeile 28:
  
 <code bash> <code bash>
-root@idp:~# a2enmod ssl +root@idp:~# a2enmod ssl headers proxy proxy_ajp
-root@idp:~# a2enmod ​headers +
-root@idp:~# a2enmod ​proxy +
-root@idp:~# a2enmod ​proxy_ajp+
 </​code>​ </​code>​
  
Zeile 131: Zeile 128:
  
 <code apache conf/​httpd.conf>​ <code apache conf/​httpd.conf>​
-# 
-# This is the main Apache HTTP server configuration file.  It contains the 
-# configuration directives that give the server its instructions. 
-# See <​URL:​http://​httpd.apache.org/​docs/​2.4/>​ for detailed information. 
-# In particular, see  
-# <​URL:​http://​httpd.apache.org/​docs/​2.4/​mod/​directives.html>​ 
-# for a discussion of each configuration directive. 
-# 
  
-# ServerRoot: The top of the directory tree under which the server'​s 
-# configuration,​ error, and log files are kept. 
-# 
-# Do not add a slash at the end of the directory path.  If you point 
-# ServerRoot at a non-local disk, be sure to specify a local disk on the 
-# Mutex directive, if file-based mutexes are used.  If you wish to share the 
-# same ServerRoot for multiple httpd daemons, you will need to change at 
-# least PidFile. 
-# 
 ServerRoot "​C:/​Program Files/​Apache/​Apache24"​ ServerRoot "​C:/​Program Files/​Apache/​Apache24"​
- 
  
 # #
Zeile 164: Zeile 143:
  
 LoadModule proxy_module modules/​mod_proxy.so LoadModule proxy_module modules/​mod_proxy.so
-#LoadModule proxy_http_module modules/​mod_proxy_ajp.so 
 LoadModule proxy_http_module modules/​mod_proxy_http.so LoadModule proxy_http_module modules/​mod_proxy_http.so
  
Zeile 174: Zeile 152:
 ServerName shib.uni-mainz.de ServerName shib.uni-mainz.de
  
-# 
 # Deny access to the entirety of your server'​s filesystem. You must # Deny access to the entirety of your server'​s filesystem. You must
 # explicitly permit access to web content directories in other  # explicitly permit access to web content directories in other 
 # <​Directory>​ blocks below. # <​Directory>​ blocks below.
-#+
 <​Directory /> <​Directory />
     AllowOverride none     AllowOverride none
Zeile 187: Zeile 164:
 <​Directory "​c:/​inetpub/​shib.uni-mainz.de">​ <​Directory "​c:/​inetpub/​shib.uni-mainz.de">​
     Options None     Options None
- 
     AllowOverride None     AllowOverride None
     Require all granted     Require all granted
Zeile 212: Zeile 188:
 </​code> ​ </​code> ​
 <code apache conf/​extra/​httpd-ssl.conf>​ <code apache conf/​extra/​httpd-ssl.conf>​
-## 
-##  SSL Global Context 
-## 
-##  All SSL configuration in this context applies both to 
-##  the main server and all SSL-enabled virtual hosts. 
-## 
  
-# 
-#   Some MIME-types for downloading Certificates and CRLs 
-# 
 AddType application/​x-x509-ca-cert .crt AddType application/​x-x509-ca-cert .crt
 AddType application/​x-pkcs7-crl ​   .crl AddType application/​x-pkcs7-crl ​   .crl
Zeile 301: Zeile 268:
 </​code>​ </​code>​
  
-==== Testen der Verbindung Apache --> Tomcat ====+===== Testen der Verbindung Apache --> Tomcat ​=====
  
 Liest der Apache seine Config ohne Fehler ein, testen Sie bitte als nächstes die Weiterleitung von Apache auf den Tomcat indem Sie folgende URL aufrufen: Liest der Apache seine Config ohne Fehler ein, testen Sie bitte als nächstes die Weiterleitung von Apache auf den Tomcat indem Sie folgende URL aufrufen:
Zeile 309: Zeile 276:
  
 Funktioniert die Weiterleitung,​ dann bekommen Sie eine Fehlermeldung "HTTP Status 404 - /idp/" oder (je nach Tomcat-Version) eine weiße Seite vom Tomcat zu sehen, da das IdP-Servlet im Tomcat noch nicht aktiv ist. Die Weiterleitung ist damit aber erfolgreich getestet! Funktioniert die Weiterleitung,​ dann bekommen Sie eine Fehlermeldung "HTTP Status 404 - /idp/" oder (je nach Tomcat-Version) eine weiße Seite vom Tomcat zu sehen, da das IdP-Servlet im Tomcat noch nicht aktiv ist. Die Weiterleitung ist damit aber erfolgreich getestet!
-Kommt eine Apache-Fehlermeldung ​(diese sollte dann auch im obigen Apache-Log erscheinen) ​dann stimmt die Apache-Configuration ​noch nichtBitte dann nochmal obige Punkte sorgfältig durchgehen.+Kommt eine Apache-Fehlermeldungdann stimmt die Apache-Konfiguration ​noch nichtBitte dann nochmal obige Punkte sorgfältig durchgehen.
  
 Anmerkungen:​ Anmerkungen:​
-  * Achten Sie bitte darauf, dass sich die SSL-Direktiven tatsächlich in einem VirtualHost-Kontext befinden und **nicht** im Location-Kontext. (Mehr dazu im [[https://​www.aai.dfn.de/​aktuelles/​newsansicht/​article/​emfohlene-konfigurationsaenderung-fuer-den-shibboleth-idp-83/​|Archiv]]). + 
-  * stellen Sie sicher dass die Apache-SSL-Konfiguration aktuellen Sicherheitsstandards entspricht! Details dazu übersteigen den Rahmen diese Anleitung. Hilfreiche Seiten:+  * Bitte stellen Sie sicher dass die Apache-SSL-Konfiguration aktuellen Sicherheitsstandards entspricht! Details dazu übersteigen den Rahmen diese Anleitung. Hilfreiche Seiten:
     * [[https://​ssl-config.mozilla.org/​]]     * [[https://​ssl-config.mozilla.org/​]]
     * [[https://​www.dfn-cert.de/​]]     * [[https://​www.dfn-cert.de/​]]
-    * https://​blog.pki.dfn.de/​2015/​03/​mehr-privacy-fuer-den-nutzer-ocsp-stapling/​]] 
     * [[https://​blog.pki.dfn.de/​]]     * [[https://​blog.pki.dfn.de/​]]
     * [[https://​www.ssllabs.com/​ssltest/​]]     * [[https://​www.ssllabs.com/​ssltest/​]]
  
-Weiter geht es mit [[de:shibidp3install|Installation Shibboleth IdP]]+Weiter geht es mit der [[de:shibidp:​install|Installation ​des Shibboleth IdP]]
 + 
 +{{tag>​idp4 tutorial}}
  • Zuletzt geändert: vor 3 Monaten