Strumenti Utente

Strumenti Sito


roberto.alfieri:user:reti:shibboleth

Progetto shibboleth per campusnet

test di shibboleth su Fisica

Sistema operativo

Installazione della una macchina virtuale VMware:

  • hostname: shibboleth.fis.unipr.it
  • IP: 160.78.35.137
  • Linux: SL52 32bit
  • shibtest

ntp

Se l'orologio del SP non e' sincronizzato, shibboleth fallisce (*Error Message: Message did not meet security requirements* )

date
ntpdate 192.135.11.20
echo "0 0-23/4 * * * root /usr/sbin/ntpdate ntp.fis.unipr.it > /dev/null 2>&1" > /etc/cron.d/ntpdate

Httpd

rpm -qa | grep http
rpm -ql httpd
service httpd stop|start|status

/var/www/html/  #radice namespace dati
/etc/httpd/      #conf e logs

shibboleth

http://shibboleth.internet2.edu/

http://shibboleth.internet2.edu/downloads/shibboleth/cppsp/latest/RPMS/i386/RHE/5/

istruzioni di installazione:
https://spaces.internet2.edu/display/SHIB2/NativeSPLinuxRPMInstall

yum install unixODBC
rpm -ivh log4shib-1.0-1.i386.rpm        xerces-c-2.8.0-1.i386.rpm
         log4shib-devel-1.0-1.i386.rpm  xml-security-c-1.4.0-1.i386.rpm
         opensaml-2.1-1.i386.rpm        xmltooling-1.1-1.i386.rpm
         shibboleth-2.1-1.i386.rpm

/var/www/html/secure/  # cartella di default  protetta da shibboleth

Configurazione:

File XML configurati

Copiato il file dei metadati unipronly-metadata.xml in /etc/shibboleth


Edidato il file /etc/shibboleth/shibboleth2.xml:

<Host name="shibboleth.fis.unipr.it">
      <Path name="secure" authType="shibboleth" requireSession="true"/>
</Host>

<ApplicationDefaults id="default" policyId="default"
        entityID="https://shibboleth.fis.unipr.it/secure"
        homeURL="https://shibboleth.fis.unipr.it/index.html"
        REMOTE_USER="eppn persistent-id targeted-id"
        signing="false" encryption="false"
        >

<Sessions lifetime="28800" timeout="3600" checkAddress="false"
            handlerURL="/Shibboleth.sso" handlerSSL="false"
            exportLocation="http://shibboleth.fis.unipr.it/Shibboleth.sso/GetAssertion" 
            idpHistory="false" idpHistoryDays="7">

<SessionInitiator type="Chaining" Location="/Login" isDefault="true" id="Intranet"
                    relayState="cookie" entityID="https://shibidp2.unipr.it">
                <SessionInitiator type="SAML2" defaultACSIndex="1" template="bindingTemplate.html"/>
                <SessionInitiator type="Shib1" defaultACSIndex="5"/>
            </SessionInitiator>


<MetadataProvider type="Chaining">
	<MetadataProvider type="XML" file="unipronly-metadata.xml"/>
</MetadataProvider>



Estratti i metadati del SP:

Con la versione 2 sono recuperabili ad un particolare URL del provider
(nel caso del service credo tu debba far partire il demone shibd).
Qualcosa del tipo https://shibsp2.unipr.it/Shibboleth.sso/Metadata (devi
essere su localhost o autorizzare la macchina da cui fai la richiesta).

Sostituiti tutti i localhost con shibboleth.fis.unipr.it

In attribute-map.xml scommentato "Examples of LDAP-based attributes..."
e aggiunto:
   
    <Attribute name="urn:mace:dir:attribute-def:uid" id="uid"/>
    <Attribute name="urn:mace:dir:attribute-def:principal" id="principal"/>
    <Attribute name="urn:mace:dir:attribute-def:transientId" id="transientId"/>
    <Attribute name="urn:mace:dir:attribute-def:server" id="server"/>

http://www.garr.it/eventiGARR/idem09/tutorial.html

http://www.idem.garr.it/guidainstall.php

shibboleth per Dokuwiki

Joomla

nuovo shibidp.unipr.it

4 sett 09

idp-metadata.zip

Modifica del file /etc/shibboleth/shibboleth2.xml:

<SessionInitiator type="Chaining" Location="/Login" isDefault="true" id="Intranet"
                    relayState="cookie" entityID="https://shibidp.unipr.it/idp/shibboleth"> 
                <SessionInitiator type="SAML2" defaultACSIndex="1" template="bindingTemplate.html"/>
                <SessionInitiator type="Shib2" defaultACSIndex="5"/>
            </SessionInitiator>

  <!-- MetadataProvider type="XML" file="unipronly-metadata.xml"/ -->
  <MetadataProvider type="XML" file="idp-metadata.xml"/> 

test di shibboleth per CampusNet

Sistema operativo

Installazione della macchina mirror di CampusNet:

  • hostname: scinux.bio.unipr.it
  • IP: 160.78.90.203
  • Linux: SL52 32bit

Httpd

/usr/local/httpd/htdocs  #documenti e pagine web
/usr/local/httpd/htdocs/secure  #cartella di default protetta da Shibboleth
/usr/local/httpd/cgi-bin/sb/ #cartella contenente: "sbprova.pl" non-protetto && "login.pl" protetto
/etc/httpd/      #conf e logs

shibboleth

File Shibboleth configurati:shib-conf # aggiornare l'archivio con i files modificati

Disattivato il servizio SELinux e il firewall (system-config-securitylevel), che impedivano il corretto funzionamento di Shibboleth.

Cambiato il nome delle variabili d'ambiente che servono per CampusNet (CAMPUSNET_nomevar), si possono visualizzare

accedendo allo script perl protetto (login.pl) da:

http://scinux.bio.unipr.it/cgi-bin/sb/login.pl

oppure da

http://scinux.bio.unipr.it/cgi-bin/sb/sbprova.pl

e premendo il pulsante Login

Creata una copia di test di campusnet (testcnet) con 2 istanze di prova:

http://prova.testcnet.unipr.it/

http://prova2.testcnet.unipr.it/

ognuna con il pulsante "Login di Ateneo" in alto a destra, per autenticarsi tramite Shibboleth.

I metadati delle due istanze di prova sono stati passati all'amministratore dell'IdP, che li ha registrati per consentire l'accesso al CAS.

Per estrarli, si usa il comando:

http://prova.testcnet.unipr.it/Shibboleth.sso/Metadata

http://prova2.testcnet.unipr.it/Shibboleth.sso/Metadata

roberto.alfieri/user/reti/shibboleth.txt · Ultima modifica: 30/08/2012 09:18 da roberto.alfieri