Asennus
Tässä ohjeessa käydään läpi shibboleth SP ohjelmiston asentaminen RedHat käyttöjärjestelmälle käyttäen valmiiksi paketoituja asennuspaketteja. Useimmiten jokaisella organisaatiolla on oma jakelukanavansa josta ohjelmistot asennetaan, tiedustelkaa sitä omalta IT ylläpidoltanne. Kanavien käyttö on suotavaa koska tällöin myös ohjelmiston päivittäminen voidaan hoitaa automaattisesti ja hallitusti.
Shibboleth SP asennetaan Apachen HTTP palvelimen kylkeen, jolle paketissa tulee "mod_shib_22.so" moduli. Kyseinen moduli toimii ainoastaan Apachen versio 2.2:sen kanssa. Tällä hetkellä valmiiksi paketoituna saadaan RedHat 6:seen asti vain versiossa Apachen versiossa 2.2 toimiva moduli, seiskasta eteenpäin käytetään 2.4:sta.
Kun jakelukanavat on konfiguroitu kuntoon voidaan siirtyä itse shibbolethin asentamiseen.
yum install shibboleth
Konfigurointi
Kun shibboleth on asennettu voidaan siirtyä konfigointiin. Konfiguraatio tiedostot löytyvät ennalta arvattavasta lokaatiosta, "/etc/shibboleth" hakemistosta.
shibboleth2.xml
ApplicationDefault elementin olennaisin kohta on attribuutin entityID arvo, tämä on shibboleth SP:n tuleva entityID jota käytetään jatkossa monessakin paikassa.
<ApplicationDefaults entityID="https://testsp.funet.fi/shibboleth" REMOTE_USER="eppn persistent-id targeted-id" signing="front" encryption="false">
SSO elementtiin konfiguroidaan kirjautumislähde. Kirjautumislähde voi olla joku yksittäinen IdP tai sitten Discovery Service (ent. WAYF). SSO elementtiin annetaan siis joko attribuutti entityID yksittäisen IdP:n tapauksessa tai sitten discoveryURL.
<SSO entityID="https://idp.csc.fi/shibboleth"> SAML2 </SSO> tai <SSO discoveryProtocol="SAMLDS" discoveryURL="https://testsp.funet.fi/shibboleth/WAYF"> SAML2 </SSO>
Errors elementtiin tulee yhteystiedot jotka annetaan virhesivulla. Tämä on hyvä täyttää jotta käyttäjät osaavat ottaa yhteyttä oikeaan paikkaan. Valitettavan usein tämä jätetään täyttämättä ja helposti otetaan yhteyttä joko federaation tai IdP:n ylläpitoon vaikka monesti ongelma on paikallisella SP:llä.
<Errors supportContact="haka@csc.fi" logoLocation="/shibboleth-sp/logo.jpg" styleSheet="/shibboleth-sp/main.css"/>
MetadataProvider elementti on olennainen osa shibboleth SP:n toimintaa, tässä elementissä määritellään luottosuhteiden lähteet, ovat ne sitten paikallisia metadatoja tai ulkoisia. Olleellista on että allekirjoitus tarkistetaan aina vaikka tämä haettaisiinkin SSL:n takaa. Federaatioissa IdP:n ja SP:den määrät elävät ja on hyvä pitää huolta siitä että metadatat päivitetään säännöllisesti (vähintään kerran vuorokaudessa). Metadatoilla on myös parasta ennen ajat ja vanhentunutta metadataa ei saa käyttää (validUntil), tämänkin takia automaattisesta päivityksestä on hyvä huolehtia.
Alla olevassa esimerkissä haetaan Haka federaation metatiedot kerran tunnissa ja allekirjoitus tarkistetaan haka-sign-v2.pem varmenteella. Tämän lisäksi esimerkissä näytetään myös kuinka voidaan rajoittaa luottosuhde vain yhteen IdP:hen whitelistausta hyväksi käyttäen. Esimerkissä myös tarkistetaan että metadasta löytyy validiteetti aika ja myös se ettei yli 7 päivää vanhaa metadataa enää käytetä. Ajat annetaan shibbolethille sekuntteina.
<MetadataProvider type="XML" uri="https://haka.funet.fi/metadata/haka-metadata.xml" backingFilePath="haka-metadata.xml" reloadInterval="3600"> <SignatureMetadataFilter certificate="/etc/pki/tls/certs/haka-sign-v2.pem"/> <MetadataFilter type="Whitelist"> <Include>https://idp.csc.fi/idp/shibboleth</Include> </MetadataFilter> <MetadataFilter type="RequireValidUntil" maxValidityInterval="604800"/> </MetadataProvider>