Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung		 Vorhergehende Überarbeitung
Nächste ÜberarbeitungBeide Seiten der Revision
de:shibsp [2019/06/14 13:28] Wolfgang Pempede:shibsp [2020/01/27 15:11] Silke Meyer
Zeile 1: Zeile 1:
 ====== Shibboleth SP ====== ====== Shibboleth SP ======
-  * Grundlegende Dokumentation im [[https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPConfiguration|Shibboleth Wiki]]+  * Grundlegende Dokumentation im [[https://wiki.shibboleth.net/confluence/display/SP3/Home|Shibboleth Wiki]]
   * Installations- und Konfigurationsanleitungen der [[https://www.switch.ch/aai/guides/sp/|SWITCHaai]]:   * Installations- und Konfigurationsanleitungen der [[https://www.switch.ch/aai/guides/sp/|SWITCHaai]]:
     * [[https://www.switch.ch/aai/guides/sp/installation/|Installation]]     * [[https://www.switch.ch/aai/guides/sp/installation/|Installation]]
Zeile 6: Zeile 6:
  
 ===== Konfigurationsbeispiel ===== ===== Konfigurationsbeispiel =====
-===Apache Webserver===+====Apache Webserver====
 <file apache /etc/apache2/sites-enabled/sp.example.org.conf> <file apache /etc/apache2/sites-enabled/sp.example.org.conf>
 <VirtualHost SP-IP-ADRESSE:443 [SP-IPv6-ADRESSE]:443> <VirtualHost SP-IP-ADRESSE:443 [SP-IPv6-ADRESSE]:443>
Zeile 19: Zeile 19:
   # Zur SSL-Konfiguration siehe die Anmerkung unterhalb dieses Beispiels   # Zur SSL-Konfiguration siehe die Anmerkung unterhalb dieses Beispiels
   #   #
-  SSLProtocol All -SSLv2 -SSLv3 +  SSLProtocol -all +TLSv1.2 +TLSv1.3 
-  SSLHonorCipherOrder On+  SSLHonorCipherOrder Off
   SSLCompression off   SSLCompression off
-  SSLCipherSuite 'EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA' +  SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384 
 +  SSLCipherSuite TLSv1.3 TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256 
 +  
   Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"   Header always set Strict-Transport-Security "max-age=31536000; includeSubDomains"
  
Zeile 65: Zeile 66:
 </file> </file>
 Um sicherzustellen, dass die Webserver-Konfiguration den aktuellen Sicherheitsstandards entspricht, informieren Sie sich bitte z.B. bei [[https://bettercrypto.org/|BetterCrypto.org]], dem [[https://www.dfn-cert.de/|DFN-CERT]], der [[https://blog.pki.dfn.de/|DFN-PKI]] oder [[https://www.ssllabs.com/|SSL LABS]]. Das letztgenannte Portal bietet auch einen Online-Test der Webserver-Konfiguration an. Um sicherzustellen, dass die Webserver-Konfiguration den aktuellen Sicherheitsstandards entspricht, informieren Sie sich bitte z.B. bei [[https://bettercrypto.org/|BetterCrypto.org]], dem [[https://www.dfn-cert.de/|DFN-CERT]], der [[https://blog.pki.dfn.de/|DFN-PKI]] oder [[https://www.ssllabs.com/|SSL LABS]]. Das letztgenannte Portal bietet auch einen Online-Test der Webserver-Konfiguration an.
-===Shibboleth SP (2.5 / 2.6)=== +====Shibboleth SP (2.5 / 2.6)===
-Zu den Änderungen in der neuen Version 3.x siehe im Shibboleth Wiki unter [[https://wiki.shibboleth.net/confluence/display/SP3/UpgradingFromV2|UpgradingFromV2]].+<callout type="primary" title="Ergänzende Hinweise"> 
 +  * **Zu den Änderungen in der neuen Version 3.x**  
 +    * Siehe im Shibboleth Wiki unter [[https://wiki.shibboleth.net/confluence/display/SP3/UpgradingFromV2|UpgradingFromV2]]. 
 +  * **Zertifikate** ''CredentialResolver'' 
 +    * Siehe unter [[de:certificates|Zertifikate]] 
 +  * **Metadaten** (und dfn-aai.g2.pem zur Verifikation der Signatur) ''MetadataProvider'' 
 +    * Siehe unter [[de:metadata|Metadaten]] und [[de:production#metadataprovider|Produktivbetrieb]] 
 +  * **Discovery Service** ''SSO/@discoveryURL'' 
 +    * Siehe unter [[de:discovery|Discovery]] und [[de:production#discovery_service|Produktivbetrieb]] 
 +</callout>
 <file xml /etc/shibboleth/shibboleth2.xml> <file xml /etc/shibboleth/shibboleth2.xml>
 <SPConfig ... > <SPConfig ... >
Zeile 87: Zeile 97:
       <Logout>SAML2 Local</Logout>       <Logout>SAML2 Local</Logout>
       <!-- für Testzwecke kann *vorübergehend* die IP-Adresse des Arbeitsplatzrechners hinzugefügt werden -->       <!-- für Testzwecke kann *vorübergehend* die IP-Adresse des Arbeitsplatzrechners hinzugefügt werden -->
-      <!-- Status reporting service--> +      <!-- Status reporting service, bitte auch für das DFN-Monitoring freigeben  --> 
-      <Handler type="Status" Location="/Status" acl="127.0.0.1 ::1"/>+      <Handler type="Status" Location="/Status" acl="127.0.0.1 193.174.247.0/24 ::1 2001:638:206:1::/64"/>
       ...       ...
       <!-- für Testzwecke ggf. "showAttributeValues" *vorübergehend* auf "true" setzen -->       <!-- für Testzwecke ggf. "showAttributeValues" *vorübergehend* auf "true" setzen -->
Zeile 115: Zeile 125:
 </SPConfig> </SPConfig>
 </file> </file>
-===== Ergänzende Hinweise ===== +
-  * **Zertifikate** ''CredentialResolver'' +
-    * Siehe unter [[de:certificates|Zertifikate]] +
-  * **Metadaten** (und dfn-aai.g2.pem zur Verifikation der Signatur) ''MetadataProvider'' +
-    * Siehe unter [[de:metadata|Metadaten]] und [[de:production#metadataprovider|Produktivbetrieb]] +
-  * **Discovery Service** ''SSO/@discoveryURL'' +
-    * Siehe unter [[de:discovery|Discovery]] und [[de:production#discovery_service|Produktivbetrieb]]+
  • Zuletzt geändert: vor 3 Monaten