Dies ist eine alte Version des Dokuments!


Shibboleth SP

/etc/apache2/sites-enabled/sp.example.org.conf
<VirtualHost SP-IP-ADRESSE:443 [SP-IPv6-ADRESSE]:443>
  ServerName              sp.example.org
  SSLEngine on
  SSLCertificateFile      /etc/ssl/localcerts/sp.example.org.crt.pem
  SSLCertificateKeyFile   /etc/ssl/private/sp.example.org.key.pem
 
  # siehe https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPApacheConfig
  UseCanonicalName On
 
  # dieser Alias wird i.d.R. nur benötigt, wenn URL Rewrite o.ä, erfolgt
  # Alias /Shibboleth.sso /Shibboleth.sso
 
  # Metadata unter der entityID-URL:
  Redirect seeother /shibboleth https://sp.example.org/Shibboleth.sso/Metadata
 
  #######################################################
  # Anweisungen welche unter Debian/Ubuntu schon beim Laden des
  # Moduls aktiv werden. Bei anderen Linuxen vielleicht nötig
  #
  <Location /Shibboleth.sso>
    AuthType None
    Require all granted
  </Location>
  <Location /shibboleth-sp>
    AuthType None
    Require all granted
  </Location>
  Alias /shibboleth-sp/main.css /usr/share/shibboleth/main.css
  #######################################################
 
 
  #
  # Vom SP zu schützende Location
  #
  # in diesem Beispiel findet keine Autorisierung statt(!)
  # zu Autorisierung etc. siehe unter https://www.switch.ch/aai/guides/sp/access-rules/
  <Location /secure-all>
    AuthType shibboleth
    ShibRequestSetting requireSession true
    Require valid-user
  </Location>
 
  #
  # Support für WAYFless-URLs unter einer Software-Unabhängigen Location
  #
  # siehe https://www.ukfederation.org.uk/library/uploads/Documents/WAYFlessGuidance.pdf
  #
  RedirectMatch /start-session$ /Shibboleth.sso/Login
</VirtualHost>

Um sicherzustellen, dass die Webserver-Konfiguration den aktuellen Sicherheitsstandards entspricht, informieren Sie sich bitte z.B. bei Mozilla, dem DFN-CERT, der DFN-PKI oder SSL LABS. Das letztgenannte Portal bietet auch einen Online-Test der Webserver-Konfiguration an.

/etc/shibboleth/shibboleth2.xml
<SPConfig ... >
  ...
  <!-- die entityID des SPs -->
  <!-- siehe unter https://wiki.shibboleth.net/confluence/display/SP3/ApplicationDefaults -->
  <ApplicationDefaults entityID="https://sp.example.org/shibboleth" ... >
  ...
   <!-- zu den Parametern vgl. 
   https://wiki.shibboleth.net/confluence/display/SP3/Sessions -->
   <Sessions lifetime="28800" timeout="3600" relayState="ss:mem"
             checkAddress="false" consistentAddress="true"  
             handlerSSL="true" cookieProps="https" redirectLimit="host">
      ...
      <!-- falls ECP unterstützt werden soll, hier noch ECP="true" einfügen;
      discoveryURL weist auf den DS für die DFN-AAI Testföderation -->
      <SSO discoveryProtocol="SAMLDS" discoveryURL="https://wayf.aai.dfn.de/DFN-AAI-Test/wayf">
         SAML2
      </SSO>
      <!-- SAML and local-only logout. -->
      <Logout>SAML2 Local</Logout>
      <!-- für Testzwecke kann *vorübergehend* die IP-Adresse des Arbeitsplatzrechners hinzugefügt werden -->
      <!-- Status reporting service, bitte auch für das DFN-Monitoring freigeben  -->
      <Handler type="Status" Location="/Status" acl="127.0.0.1 193.174.247.0/24 ::1 2001:638:206:1::/64"/>
      ...
      <!-- für Testzwecke ggf. "showAttributeValues" *vorübergehend* auf "true" setzen -->
      <!-- Session diagnostic service. -->
      <Handler type="Session" Location="/Session" showAttributeValues="false"/>
      ...
   </Sessions>       
   ...
   <!-- valide (Admin-/Hotline-) eMail-Adresse und korrekte URLs/Pfade einfügen-->
   <Errors supportContact="helpdesk@example.org"
           helpLocation="/about.html"
           styleSheet="/shibboleth-sp/main.css"/>
   ...
   <!-- Metadaten der Test-Föderation -->
   <!-- den Pfad zum Zertifikat zur Signaturüberprüfung den lokalen Gegebenheiten anpassen! -->
   <MetadataProvider type="XML" url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-test-metadata.xml"
         validate="true" backingFilePath="dfn-aai-test-metadata.xml" reloadInterval="3600">
       <MetadataFilter type="Signature" certificate="/etc/shibboleth/dfn-aai.g2.pem"/>
   </MetadataProvider>
   ...
   <!-- Pfadangaben zu den Zertifikat-Dateien -->
   <CredentialResolver type="File" key="/etc/ssl/private/sp-key.pem" 
          certificate="/etc/ssl/localcerts/sp-crt.pem"/>
   ...
  </ApplicationDefaults>
  ...
</SPConfig>

Ergänzende Hinweise

  • Zuletzt geändert: vor 5 Jahren