Dies ist eine alte Version des Dokuments!
Shibboleth SP
- Grundlegende Dokumentation im Shibboleth Wiki
- Installations- und Konfigurationsanleitungen der SWITCHaai:
Konfigurationsbeispiel
Apache Webserver
- /etc/apache2/sites-enabled/sp.example.org.conf
<VirtualHost SP-IP-ADRESSE:443 [SP-IPv6-ADRESSE]:443> ServerName sp.example.org SSLEngine on SSLCertificateFile /etc/ssl/localcerts/sp.example.org.crt.pem SSLCertificateKeyFile /etc/ssl/private/sp.example.org.key.pem # siehe https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPApacheConfig UseCanonicalName On # dieser Alias wird i.d.R. nur benötigt, wenn URL Rewrite o.ä, erfolgt # Alias /Shibboleth.sso /Shibboleth.sso # Metadata unter der entityID-URL: Redirect seeother /shibboleth https://sp.example.org/Shibboleth.sso/Metadata ####################################################### # Anweisungen welche unter Debian/Ubuntu schon beim Laden des # Moduls aktiv werden. Bei anderen Linuxen vielleicht nötig # <Location /Shibboleth.sso> AuthType None Require all granted </Location> <Location /shibboleth-sp> AuthType None Require all granted </Location> Alias /shibboleth-sp/main.css /usr/share/shibboleth/main.css ####################################################### # # Vom SP zu schützende Location # # in diesem Beispiel findet keine Autorisierung statt(!) # zu Autorisierung etc. siehe unter https://www.switch.ch/aai/guides/sp/access-rules/ <Location /secure-all> AuthType shibboleth ShibRequestSetting requireSession true Require valid-user </Location> # # Support für WAYFless-URLs unter einer Software-Unabhängigen Location # # siehe https://www.ukfederation.org.uk/library/uploads/Documents/WAYFlessGuidance.pdf # RedirectMatch /start-session$ /Shibboleth.sso/Login </VirtualHost>
Um sicherzustellen, dass die Webserver-Konfiguration den aktuellen Sicherheitsstandards entspricht, informieren Sie sich bitte z.B. bei Mozilla, dem DFN-CERT, der DFN-PKI oder SSL LABS. Das letztgenannte Portal bietet auch einen Online-Test der Webserver-Konfiguration an.
Shibboleth SP (3.x)
- /etc/shibboleth/shibboleth2.xml
<SPConfig ... > ... <!-- die entityID des SPs --> <!-- siehe unter https://wiki.shibboleth.net/confluence/display/SP3/ApplicationDefaults --> <ApplicationDefaults entityID="https://sp.example.org/shibboleth" ... > ... <!-- zu den Parametern vgl. https://wiki.shibboleth.net/confluence/display/SP3/Sessions --> <Sessions lifetime="28800" timeout="3600" relayState="ss:mem" checkAddress="false" consistentAddress="true" handlerSSL="true" cookieProps="https" redirectLimit="host"> ... <!-- falls ECP unterstützt werden soll, hier noch ECP="true" einfügen; discoveryURL weist auf den DS für die DFN-AAI Testföderation --> <SSO discoveryProtocol="SAMLDS" discoveryURL="https://wayf.aai.dfn.de/DFN-AAI-Test/wayf"> SAML2 </SSO> <!-- SAML and local-only logout. --> <Logout>SAML2 Local</Logout> <!-- für Testzwecke kann *vorübergehend* die IP-Adresse des Arbeitsplatzrechners hinzugefügt werden --> <!-- Status reporting service, bitte auch für das DFN-Monitoring freigeben --> <Handler type="Status" Location="/Status" acl="127.0.0.1 193.174.247.0/24 ::1 2001:638:206:1::/64"/> ... <!-- für Testzwecke ggf. "showAttributeValues" *vorübergehend* auf "true" setzen --> <!-- Session diagnostic service. --> <Handler type="Session" Location="/Session" showAttributeValues="false"/> ... </Sessions> ... <!-- valide (Admin-/Hotline-) eMail-Adresse und korrekte URLs/Pfade einfügen--> <Errors supportContact="helpdesk@example.org" helpLocation="/about.html" styleSheet="/shibboleth-sp/main.css"/> ... <!-- Metadaten der Test-Föderation --> <!-- den Pfad zum Zertifikat zur Signaturüberprüfung den lokalen Gegebenheiten anpassen! --> <MetadataProvider type="XML" url="http://www.aai.dfn.de/fileadmin/metadata/dfn-aai-test-metadata.xml" validate="true" backingFilePath="dfn-aai-test-metadata.xml" reloadInterval="3600"> <MetadataFilter type="Signature" certificate="/etc/shibboleth/dfn-aai.g2.pem"/> </MetadataProvider> ... <!-- Pfadangaben zu den Zertifikat-Dateien --> <CredentialResolver type="File" key="/etc/ssl/private/sp-key.pem" certificate="/etc/ssl/localcerts/sp-crt.pem"/> ... </ApplicationDefaults> ... </SPConfig>
Ergänzende Hinweise
- Zu den Änderungen gegenüber der alten Version 2.x
- Siehe im Shibboleth Wiki unter UpgradingFromV2.
- Zertifikate
CredentialResolver- Siehe unter Zertifikate
- Metadaten (und dfn-aai.g2.pem zur Verifikation der Signatur)
MetadataProvider- Siehe unter Metadaten und Produktivbetrieb
- Discovery Service
SSO/@discoveryURL- Siehe unter Discovery und Produktivbetrieb