Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende ÜberarbeitungLetzte ÜberarbeitungBeide Seiten der Revision | ||
de:shibslohttpd:configuration:normal [2015/12/09 09:42] – Schreiterer, Frank | de:shibslohttpd:configuration:normal [2015/12/09 11:31] – [Einrichtung für SessionHook] Schreiterer, Frank | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
===== Konfiguration Anwendungsszenario normal ===== | ===== Konfiguration Anwendungsszenario normal ===== | ||
+ | |||
+ | **In allen Konfigurationsbeispielen muss APPSESSIONNAME durch den Cookie-Namen der zu schützen Anwendung ersetzt werden, die den Identifier der Anwendungs-Session enthält.** | ||
==== Einrichtung für SessionHook ==== | ==== Einrichtung für SessionHook ==== | ||
Zeile 5: | Zeile 7: | ||
Das Skript [[ |checker.php]], | Das Skript [[ |checker.php]], | ||
- | **In allen Konfigurationsbeispielen muss APPSESSIONNAME durch den Cookie-Namen der zu schützen Anwendung ersetzt werden, die den Identifier der Anwendungs-Session enthält.** | + | Konfiguration **Apache |
- | + | ||
- | Konfiguration **Apache:** | + | |
<code Apache httpd.conf> | <code Apache httpd.conf> | ||
< | < | ||
- | authType shibboleth | + | authType shibboleth |
- | ShibRequestSetting requireSession true | + | |
- | ShibUseHeaders on | + | |
- | RewriteEngine On | + | |
- | #den Wert der Anwendungssession merken um die Anwendungssession sauber zerstören zu können | + | |
- | RewriteCond %{HTTP: | + | |
- | RewriteRule .* - [E=appsid: | + | |
- | + | | |
- | #Test der Werte mit RewriteMap-Skript ohne mixedLazy | + | |
- | RewriteCond ${shibchecker: | + | |
- | RewriteRule .* https:// | + | |
- | + | | |
- | #mit mixedLazy darf der Aufruf nicht erfolgen, da in diesem Modus das Einschleusen einer Anwendungssession vor der Shib-Anmeldung nicht zu verhindern ist. | + | |
- | #Es wird jedoch vom shibchecker geprüft, ob die Anwendungssession bereits vergeben war. | + | #vor der Shib-Anmeldung nicht zu verhindern ist. |
- | #FALSCH bei mixedLazy | + | |
- | # | + | |
+ | | ||
</ | </ | ||
Zeile 39: | Zeile 40: | ||
==== Schutz der Anwendung ==== | ==== Schutz der Anwendung ==== | ||
- | Konfiguration **Apache:** | + | Konfiguration **Apache |
<code Apache httpd.conf> | <code Apache httpd.conf> | ||
< | < | ||
- | authType shibboleth | + | authType shibboleth |
- | ShibRequestSetting requireSession true | + | |
- | ShibUseHeaders on | + | |
- | < | + | |
- | | + | Require shib-attr eppn ~ ^foo*@beispiel-uni.de$ |
- | | + | Require shib-attr eduPersonEntitlement ~ ^urn: |
- | </ | + | |
- | #prüfen, ob die Anfrage gültig ist und ggf. das Logout durchführen | + | |
- | #ACHTUNG: Erst die Anwendungssession zerstören und das das Shibboleth-Logout! | + | |
- | RewriteEngine On | + | |
- | RewriteCond ${shibchecker: | + | |
- | #Um die Aufrufe zu minimieren, wird das Ergebnis in einer Umgebungsvariable gespeichert und dann können die verschiedenen Rückgabewerte wieder in einzelnen Bedingungen ausgewertet werden | + | |
- | RewriteRule .* - [E=shibcheckertype: | + | #die verschiedenen Rückgabewerte wieder in einzelnen Bedingungen ausgewertet werden |
- | + | | |
- | # | + | |
- | # | + | |
- | RewriteCond %{ENV: | + | #gemacht werden) werden, damit das Anwendungs-Cookie nicht verändert werden kann |
- | #über ein extra Skript, wenn ohne weiteres die Anwendungssession initialisiert werden kann | + | |
- | RewriteRule .* https:// | + | |
- | + | | |
- | #oder über Refresh-Header, | + | |
- | # | + | |
- | # | + | |
- | #Header set Refresh " | + | |
- | + | | |
- | #Logout? | + | |
- | RewriteCond %{ENV: | + | |
- | RewriteRule .* https:// | + | |
+ | | ||
+ | | ||
</ | </ | ||
</ | </ | ||