• Created by Unknown User (ssilen@csc.fi), last modified on Nov 06, 2014

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 4 Next »

Asennus

Tässä ohjeessa käydään läpi shibboleth SP ohjelmiston asentaminen RedHat käyttöjärjestelmälle käyttäen valmiiksi paketoituja asennuspaketteja. Useimmiten jokaisella organisaatiolla on oma jakelukanavansa josta ohjelmistot asennetaan, tiedustelkaa sitä omalta IT ylläpidoltanne. Kanavien käyttö on suotavaa koska tällöin myös ohjelmiston päivittäminen voidaan hoitaa automaattisesti ja hallitusti.

Kun jakelukanavat on konfiguroitu kuntoon voidaan siirtyä itse shibbolethin asentamiseen.

yum install shibboleth

Konfigurointi

Kun shibboleth on asennettu voidaan siirtyä konfigointiin. Konfiguraatio tiedostot löytyvät ennalta arvattavasta lokaatiosta, "/etc/shibboleth" hakemistosta. 

shibboleth2.xml

ApplicationDefault elementin olennaisin kohta on attribuutin entityID arvo, tämä on shibboleth SP:n tuleva entityID jota käytetään jatkossa monessakin paikassa.

<ApplicationDefaults entityID="https://testsp.funet.fi/shibboleth" REMOTE_USER="eppn persistent-id targeted-id" signing="front" encryption="false">

SSO elementtiin konfiguroidaan kirjautumislähde. Kirjautumislähde voi olla joku yksittäinen IdP tai sitten Discovery Service (ent. WAYF). SSO elementtiin annetaan siis joko attribuutti entityID yksittäisen IdP:n tapauksessa tai sitten discoveryURL.

<SSO entityID="https://idp.csc.fi/shibboleth"> SAML2 </SSO>
 
tai
 
<SSO discoveryProtocol="SAMLDS" discoveryURL="https://testsp.funet.fi/shibboleth/WAYF"> SAML2 </SSO>

Errors elementtiin tulee yhteystiedot jotka annetaan virhesivulla. Tämä on hyvä täyttää jotta käyttäjät osaavat ottaa yhteyttä oikeaan paikkaan. Valitettavan usein tämä jätetään täyttämättä ja helposti otetaan yhteyttä joko federaation tai IdP:n ylläpitoon vaikka monesti ongelma on paikallisella SP:llä.

 <Errors supportContact="haka@csc.fi" logoLocation="/shibboleth-sp/logo.jpg" styleSheet="/shibboleth-sp/main.css"/>

MetadataProvider elementti on olennainen osa shibboleth SP:n toimintaa, tässä elementissä määritellään luottosuhteiden lähteet, ovat ne sitten paikallisia metadatoja tai ulkoisia. Olleellista on aina että allekirjoitus tarkistetaan vaikka tämä haettaisiinkin SSL:n takaa. Oleellista on myös että metadata on voimassa vain tietyn ajanjakson ja tämä päivitetään säännöllisesti (vähintään kerran vuorokaudessa).

Alla olevassa esimerkissä haetaan Haka federaation metatiedot kerran tunnissa ja allekirjoitus tarkistetaan haka-sign-v2.pem varmenteella. Tämän lisäksi esimerkissä näytetään myös kuinka voidaan rajoittaa luottosuhde vain yhteen IdP:hen whitelistausta hyväksi käyttäen. Tarkistetaan myös että metadasta löytyy validiteetti aika ja myös se ettei yli 7 päivää metadataa enää käytetä. Ajat annetaan shibbolethille sekuntteina.

<MetadataProvider type="XML" uri="https://haka.funet.fi/metadata/haka-metadata.xml" backingFilePath="haka-metadata.xml" reloadInterval="3600">
 <SignatureMetadataFilter certificate="/etc/pki/tls/certs/haka-sign-v2.pem"/>
 <MetadataFilter type="Whitelist">
 <Include>https://idp.csc.fi/idp/shibboleth</Include>
 </MetadataFilter>
 <MetadataFilter type="RequireValidUntil" maxValidityInterval="604800"/>
</MetadataProvider>
  • No labels