Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste ÜberarbeitungBeide Seiten der Revision |
de:shibsp [2017/07/18 15:41] – [Ergänzende Hinweise] Raoul Gunnar Borenius | de:shibsp [2020/01/27 15:12] – [Apache Webserver] Silke Meyer |
---|
====== Shibboleth SP ====== | ====== Shibboleth SP ====== |
* Grundlegende Dokumentation im [[https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPConfiguration|Shibboleth Wiki]] | * Grundlegende Dokumentation im [[https://wiki.shibboleth.net/confluence/display/SP3/Home|Shibboleth Wiki]] |
* Installations- und Konfigurationsanleitungen der [[https://www.switch.ch/aai/guides/sp/|SWITCHaai]]: | * Installations- und Konfigurationsanleitungen der [[https://www.switch.ch/aai/guides/sp/|SWITCHaai]]: |
* [[https://www.switch.ch/aai/guides/sp/installation/|Installation]] | * [[https://www.switch.ch/aai/guides/sp/installation/|Installation]] |
| |
===== Konfigurationsbeispiel ===== | ===== Konfigurationsbeispiel ===== |
===Apache Webserver=== | ====Apache Webserver==== |
<file apache /etc/apache2/sites-enabled/sp.example.org.conf> | <file apache /etc/apache2/sites-enabled/sp.example.org.conf> |
<VirtualHost SP-IP-ADRESSE:443 [SP-IPv6-ADRESSE]:443> | <VirtualHost SP-IP-ADRESSE:443 [SP-IPv6-ADRESSE]:443> |
# Zur SSL-Konfiguration siehe die Anmerkung unterhalb dieses Beispiels | # Zur SSL-Konfiguration siehe die Anmerkung unterhalb dieses Beispiels |
# | # |
SSLProtocol All -SSLv2 -SSLv3 | SSLProtocol -all +TLSv1.2 +TLSv1.3 |
SSLHonorCipherOrder On | SSLHonorCipherOrder Off |
SSLCompression off | SSLCompression off |
SSLCipherSuite 'EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA' | SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 |
| SSLCipherSuite TLSv1.3 TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256 |
| |
Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains" | Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains" |
| |
</VirtualHost> | </VirtualHost> |
</file> | </file> |
Um sicherzustellen, dass die Webserver-Konfiguration den aktuellen Sicherheitsstandards entspricht, informieren Sie sich bitte z.B. bei [[https://bettercrypto.org/|BetterCrypto.org]], dem [[https://www.dfn-cert.de/|DFN-CERT]], der [[https://blog.pki.dfn.de/|DFN-PKI]] oder [[https://www.ssllabs.com/|SSL LABS]]. Das letztgenannte Portal bietet auch einen Online-Test der Webserver-Konfiguration an. | Um sicherzustellen, dass die Webserver-Konfiguration den aktuellen Sicherheitsstandards entspricht, informieren Sie sich bitte z.B. bei [[https://ssl-config.mozilla.org/|Mozilla]], dem [[https://www.dfn-cert.de/|DFN-CERT]], der [[https://blog.pki.dfn.de/|DFN-PKI]] oder [[https://www.ssllabs.com/|SSL LABS]]. Das letztgenannte Portal bietet auch einen Online-Test der Webserver-Konfiguration an. |
===Shibboleth SP=== | ====Shibboleth SP (2.5 / 2.6)==== |
| <callout type="primary" title="Ergänzende Hinweise"> |
| * **Zu den Änderungen in der neuen Version 3.x** |
| * Siehe im Shibboleth Wiki unter [[https://wiki.shibboleth.net/confluence/display/SP3/UpgradingFromV2|UpgradingFromV2]]. |
| * **Zertifikate** ''CredentialResolver'' |
| * Siehe unter [[de:certificates|Zertifikate]] |
| * **Metadaten** (und dfn-aai.g2.pem zur Verifikation der Signatur) ''MetadataProvider'' |
| * Siehe unter [[de:metadata|Metadaten]] und [[de:production#metadataprovider|Produktivbetrieb]] |
| * **Discovery Service** ''SSO/@discoveryURL'' |
| * Siehe unter [[de:discovery|Discovery]] und [[de:production#discovery_service|Produktivbetrieb]] |
| </callout> |
<file xml /etc/shibboleth/shibboleth2.xml> | <file xml /etc/shibboleth/shibboleth2.xml> |
<SPConfig ... > | <SPConfig ... > |
<Logout>SAML2 Local</Logout> | <Logout>SAML2 Local</Logout> |
<!-- für Testzwecke kann *vorübergehend* die IP-Adresse des Arbeitsplatzrechners hinzugefügt werden --> | <!-- für Testzwecke kann *vorübergehend* die IP-Adresse des Arbeitsplatzrechners hinzugefügt werden --> |
<!-- Status reporting service. --> | <!-- Status reporting service, bitte auch für das DFN-Monitoring freigeben --> |
<Handler type="Status" Location="/Status" acl="127.0.0.1 ::1"/> | <Handler type="Status" Location="/Status" acl="127.0.0.1 193.174.247.0/24 ::1 2001:638:206:1::/64"/> |
... | ... |
<!-- für Testzwecke ggf. "showAttributeValues" *vorübergehend* auf "true" setzen --> | <!-- für Testzwecke ggf. "showAttributeValues" *vorübergehend* auf "true" setzen --> |
... | ... |
<!-- Metadaten der Test-Föderation --> | <!-- Metadaten der Test-Föderation --> |
<MetadataProvider type="XML" uri="https://www.aai.dfn.de/fileadmin/metadata/dfn-aai-test-metadata.xml" | <MetadataProvider type="XML" uri="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-test-metadata.xml" |
backingFilePath="DFN-AAI-Test-metadata.xml" reloadInterval="3600"> | backingFilePath="dfn-aai-test-metadata.xml" reloadInterval="3600"> |
<MetadataFilter type="Signature" certificate="/etc/shibboleth/dfn-aai.g2.pem"/> | <MetadataFilter type="Signature" certificate="/etc/shibboleth/dfn-aai.g2.pem"/> |
</MetadataProvider> | </MetadataProvider> |
</SPConfig> | </SPConfig> |
</file> | </file> |
===== Ergänzende Hinweise ===== | |
* **Zertifikate** ''CredentialResolver'' | |
* Siehe unter [[de:certificates|Zertifikate]] | |
* **Metadaten** (und Zertifikat zur Verifikation der Signatur) ''MetadataProvider'' | |
* Siehe unter [[de:metadata|Metadaten]] und [[de:production#metadataprovider|Produktivbetrieb]] | |
* **Discovery Service** ''SSO/@discoveryURL'' | |
* Siehe unter [[de:discovery|Discovery]] und [[de:production#discovery_service|Produktivbetrieb]] | |