Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Installation und Konfiguration des Identity Provider Shibboleth Workshop Freiburg, 12.10.2005 Franck Borel, AAR-Projekt, UB Freiburg.

Veröffentlicht von:Erwin Ackermann Geändert vor über 9 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Installation und Konfiguration des Identity Provider Shibboleth Workshop Freiburg, 12.10.2005 Franck Borel, AAR-Projekt, UB Freiburg."—  Präsentation transkript:

1 Installation und Konfiguration des Identity Provider Shibboleth Workshop Freiburg, 12.10.2005 Franck Borel, AAR-Projekt, UB Freiburg

2 Franck Borel, AAR-Projekt, UB-Freiburg 2 Übersicht Installation des Identity Providers Konfiguration des Identity Providers

3 Franck Borel, AAR-Projekt, UB-Freiburg 3 Installation des Identity Providers Wie gehen Sie vor? –Komponenten installieren und einzeln testen –Komponenten im Verbund testen –DemoAAR oder InQueue Testzugang einrichten und Identity Provider testen Welche Kenntnisse sind von Vorteil? –Kenntnisse in der Administration von Apache und Tomcat –XML, SAML –Java, insbesondere J2EE Wie groß ist der zeitliche Aufwand? –Je nach vorhandenen Kenntnissen 1 bis 3 Wochen

4 Franck Borel, AAR-Projekt, UB-Freiburg 4 Installation des Identity Providers Aus dem Nähkästchen: –Welche Anfangsschwierigkeiten hatten wir bei der Installation? Unzureichende Dokumentation (z.B. fehlende oder falsche Angaben) –Hoher Zeitaufwand, bis das Prinzip und das Konzept verstanden wurde Uneinheitliche Bezeichnung der Komponenten Alles in einem Paket (SP, IdP und WAYF): Welche Datei gehört zu welcher Komponente?

5 Franck Borel, AAR-Projekt, UB-Freiburg 5 Installation des Identity Providers Welche Komponenten müssen installiert werden? Apache 1.3.26+ oder 2.0.x mit SSL (empfohlen 2.0.x) Java 1.5.x Tomcat 5.5.x mod_jk Ant Shibboleth Identity Provider 1.3+ Folgende Kombinationen werden unterstützt: Java 1.4.x & Tomcat 4.1.18+ oder Java 1.5.x + Tomcat 5.5.x Vorsicht! Inkonsistenzen in den einzelnen Versionen

6 Franck Borel, AAR-Projekt, UB-Freiburg 6 Installation des Identity Providers Übersicht zu den Komponenten des Identity Providers: Apache mod_jk Tomcat SSO (HS) AA LDAP ARP SQL Authentifizierung über Tomcat oder Apache schützt SSO (HS) Autorisierung Benutzerdaten Richtlinien für die Freigabe von Attributen... Shibboleth- Komponenten

7 Franck Borel, AAR-Projekt, UB-Freiburg 7 Konfiguration des Identity Providers Übersichtskarte zu den Konfigurationsdateien Tomcat Apache Identity Provider server.xml web.xml idp.xml metadata.xml arp.site.xml resolver.xml httpd.conf mod_jk.conf Workers.properties log4j.properties mod_jk

8 Franck Borel, AAR-Projekt, UB-Freiburg 8 Konfiguration des Identity Providers Die wichtigsten Konfigurationsaufgaben am Identity Provider: –Grundeinstellungen ( idp.xml ) –Einstellungen für die Authentifizierung ( server.xml, web.xml ) –Einstellungen für die Autorisierung ( resolver.xml, arp.xml )

9 Franck Borel, AAR-Projekt, UB-Freiburg 9 Konfiguration des Identity Providers Grundeinstellungen an der Hauptkonfigurationsdatei idp.xml <IdPConfig … AAUrl="https://idp.example.org:8443/shibboleth-idp/AA" resolverConfig="file:/opt/shibboleth-idp-1.3b/etc/resolver.xml" defaultRelyingParty="urn:mace:shibboleth:examples" providerId="https://idp.example.org/shibboleth"> → z.B. Liste mit Service Providern → Weist auf die arp.xml → Einstellungen für die Log-Dateien → Zwischenablage des Principal → Einstellungen für die Verwendung der Übertragungsmethode Browser/Artifact → Zertifikate/Schlüssel → Hier wird festgelegt, welche Art von Anfragen beantworten werden → Weist auf die metadata.xml Attribute Standard Relaying Party: z.B. Föderation oder Applikation Eindeutige ID des Identity Providers (URI)

10 Franck Borel, AAR-Projekt, UB-Freiburg 10 Konfiguration des Identity Providers Beispiel für eine formularbasierte Authentifizierung mit MemoryRealm 1.server.xml bearbeiten 2.web.xml bearbeiten 3.Login-Seite mit FORM-Authentifizierung und eine FORM-Fehlerseite erstellen

11 Franck Borel, AAR-Projekt, UB-Freiburg 11 Konfiguration des Identity Providers Formularbasierte Authentifizierung mit MemoryRealm: … <Context path="/shibboleth-13b" docBase="/srv/www/webapps/shibboleth-13b" debug=„4" reloadable="true" <Realmclass Name="org.apache.catalina.realm.MemoryRealm" debug="4" pathname="conf/tomcat-user.xml"/> … Tomcat server.xml Einbinden der Klasse MemoryRealm XML-Datei mit Benutzername/Passwort debug level (0-4 / default = 0)

12 Franck Borel, AAR-Projekt, UB-Freiburg 12 Konfiguration des Identity Providers Formularbasierte Authentifizierung mit MemoryRealm Identity Provider … FORM MemoryRealm /login.jsp /error.jsp demo … web.xml Authenti- fizierungs- methode FORM- Seiten Benutzergruppe

13 Franck Borel, AAR-Projekt, UB-Freiburg 13 Konfiguration des Identity Providers Formularbasierte Authentifizierung mit MemoryRealm … … … … Identity Provider login.jsp Aufruf von j_security_check Benutzername /Passwort

14 Franck Borel, AAR-Projekt, UB-Freiburg 14 Konfiguration des Identity Providers Vordefinierte Realms: MemoryRealm: Schnittstelle zur Authentifizierung gegen ein statisches Objekt (z.B. Textdatei) JDBCRealm: Schnittstelle zu einer relationalen Datenbank mit Hilfe des JDBC-Treibers JAASRealm: Schnittstelle zur Authentifizierung via Java Authentication & Authorization Service Famework JNDIRealm: Schnittstelle zur Authentifizierung mit LDAP

15 Franck Borel, AAR-Projekt, UB-Freiburg 15 Konfiguration des Identity Providers Die Konfiguration der Attribute Authority (AA) Die Konfiguration und Anbindung der Attribute Authority wird in der resolver.xml -Datei vorgenommen. In der arp.site.xml können Attribute gefiltert werden In der arp.site${PRINCIPALNAME}.xml können Attribute abhängig vom aktuellen Benutzer gefiltert werden. Drei vordefinierte Konfigurationsdateien zur Anbindung an ein bestehendes Speicherobjekt stehen zur Verfügung: –resolver.jdbc (JDBC) –resolver.ldap (LDAP) –resolver.xml (für Testzwecke mit festkodierten Werten → echoresponder) Sie können auch eigene Resolver erstellen (Thema im nächsten Workshop ? )

16 Franck Borel, AAR-Projekt, UB-Freiburg 16 Konfiguration des Identity Providers Beispiel einer Konfiguration mit einem JDBC-Resolver: Anpassen der idp.xml <IdPConfig xmlns="urn:mace:shibboleth:idp:config:1.0" xmlns:cred="urn:mace:shibboleth:credentials:1.0" xmlns:name="urn:mace:shibboleth:namemapper:1.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="urn:mace:shibboleth:idp:config:1.0../schemas/shibboleth-idpconfig-1.0.xsd" AAUrl="https://aar.ub-freiburg.de:8443/shibboleth-idp/AA" resolverConfig="file:/opt/shibboleth-idp-1.3b/etc/resolver.jdbc.xml" defaultRelyingParty="urn:mace:shibboleth:examples" providerId="https://aar.ub-freiburg.de/shibboleth"> … idp.xml Legt fest, welche Resolver- Konfigurationsdatei verwendet werden soll. Attribute Authority und sSSO müssen bei der Verwendung von SSL auf getrennten Ports laufen!

17 Franck Borel, AAR-Projekt, UB-Freiburg 17 Konfiguration des Identity Providers Beispiel einer Konfiguration mit einem JDBC-Resolver: Anpassen der resolver.jdbc.xml <JDBCDataConnector id="db1" dbURL="jdbc:postgresql://aar.ub.uni-freiburg.de/redi?user=postgres&password=test" dbDriver="org.postgresql.Driver" maxActive="10" maxIdle="5"> Select member from users where name = ? <CustomDataConnector id="echo" class="edu.internet2.middleware.shibboleth.aa.attrresolv.provider.SampleConnector"/> resolver.xml Eindeutige Attributreferenz Referenz zur Datenbankverbindung Verbindung zur Datenbank SQL-Abfrage (? = %PRINCIPAL%)

18 Franck Borel, AAR-Projekt, UB-Freiburg 18 Konfiguration des Identity Providers Beispiel einer Konfiguration mit einem JDBC- Resolver: Anpassen der arp.xml <AttributeReleasePolicy xmlns:xsi=http://www.w3.org/2001/XMLSchema-instancehttp://www.w3.org/2001/XMLSchema-instance xmlns="urn:mace:shibboleth:arp:1.0" xsi:schemaLocation="urn:mace:shibboleth:arp:1.0 shibboleth-arp-1.0.xsd" > arp.xml Empfänger Attributname Erlauben?

19 Franck Borel, AAR-Projekt, UB-Freiburg 19 Schnittstellen erweitern Steht keine geeignete Schnittstelle für die Authentifizierung zur Verfügung können eigene Schnittstellen mit Hilfe der JAAS-Schnittstelle entwickelt werden. Fehlt eine Schnittstelle für die Autorisierung müssen eigene Resolver erstellt werden.

20 Franck Borel, AAR-Projekt, UB-Freiburg 20 Danke für Ihre Aufmerksamkeit!

Herunterladen ppt "Installation und Konfiguration des Identity Provider Shibboleth Workshop Freiburg, 12.10.2005 Franck Borel, AAR-Projekt, UB Freiburg."

Ähnliche Präsentationen

Ausblick auf Shibboleth 2.0

Ausblick auf Shibboleth 2.0
Be.as WEB Technologie 25.03.2017.

Be.as WEB Technologie
Was gibt´s neues im Bereich Sicherheit

Was gibt´s neues im Bereich Sicherheit
PC-Senioren Ludwigsburg

PC-Senioren Ludwigsburg
ReDI als Pilotanwendung für Shibboleth

ReDI als Pilotanwendung für Shibboleth
Anwendungen schützen mit Shibboleth

Anwendungen schützen mit Shibboleth
Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung Vorstellung des Projektes und Informationsaustausch Mannheim, 13. Juni 2006 Franck.

Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung Vorstellung des Projektes und Informationsaustausch Mannheim, 13. Juni 2006 Franck.
Das Projekt AAR ReDI als Pilotanwendung für die Shibboleth-Authentifizierung vascoda AG Betrieb und Weiterentwicklung Köln, 24. August 2005 Bernd Oberknapp,

Das Projekt AAR ReDI als Pilotanwendung für die Shibboleth-Authentifizierung vascoda AG Betrieb und Weiterentwicklung Köln, 24. August 2005 Bernd Oberknapp,
Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung

Das Projekt AAR Authentifizierung, Autorisierung und Rechteverwaltung
1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.

1 Allgemeine Fragestellung Suche nach wissenschaftlicher Information im Internet Quelle wird gefunden, aber… …Zugang nur gegen Passwort oder Zahlung Wiss.
Bernd Oberknapp, UB Freiburg

Bernd Oberknapp, UB Freiburg
Authentifizierung, Autorisierung und Rechteverwaltung Einsatz und Funktion des Rechteservers 2. Shibboleth-Workshop Freiburg, 23. März 2006 Gerald Schupfner,

Authentifizierung, Autorisierung und Rechteverwaltung Einsatz und Funktion des Rechteservers 2. Shibboleth-Workshop Freiburg, 23. März 2006 Gerald Schupfner,
Föderationen: Richtlinien, Zertifikate und Attribute

Föderationen: Richtlinien, Zertifikate und Attribute
Bernd Oberknapp, UB Freiburg

Bernd Oberknapp, UB Freiburg
Einführung in den Identity Provider

Einführung in den Identity Provider
DFN-AAI Stand des Testsystems Raoul Borenius, DFN-AAI-Team

DFN-AAI Stand des Testsystems Raoul Borenius, DFN-AAI-Team
Einbindung des Service Providers: Einfache Web-Applikation, Überwachungssystem NAGIOS 2. Shibboleth-Workshop, Freiburg, 23.03.2006 Franck Borel, UB Freiburg.

Einbindung des Service Providers: Einfache Web-Applikation, Überwachungssystem NAGIOS 2. Shibboleth-Workshop, Freiburg, Franck Borel, UB Freiburg.
Technische Übersicht zu Shibboleth

Technische Übersicht zu Shibboleth
Datenbankzugriff im WWW (Kommerzielle Systeme)

Datenbankzugriff im WWW (Kommerzielle Systeme)
Ruby on Rails im Überblick

Ruby on Rails im Überblick

Ähnliche Präsentationen

Google-Anzeigen