Shibboleth SP con Debian



Documenti analoghi
Installazione di uno Shibboleth SP 2 su Microsoft Windows 2003/2008 Server

Shibboleth SP installazione e configurazione di base per SSO

Shibboleth SP installazione e configurazione di base per SSO

Specifiche tecniche per l integrazione dell IdP della Regione Puglia

Mettere insieme i pezzi

Installazione Shibboleth Service Provider su Debian-Linux

Shibboleth SP: configurazione avanzata

Installare un Service Provider Shibboleth su Linux Debian

Integrazione Gateway Enti Locali (GEL) tramite Shibboleth

Guida all'installazione dello Shibboleth Embedded Discovery Service v1.1.0 su Debian-Linux

Integrazione Gateway Enti Locali (GEL) tramite Shibboleth

Shibboleth SP: configurazione avanzata

Guida all'installazione dello Shibboleth Embedded Discovery Service su Debian-Linux. 8 Settembre Autori: Marco Malavolti Credits: Shibboleth

Accesso Wireless Federato presso l'infrastruttura di Rete CNR Piemonte

Utilizzare IDEM per controllare l'accesso wireless. Case Study: la rete wireless dell Università di Ferrara

Sommario. 1 La shell di Windows PowerShell... 1

simplesamlphp Implementazione SP a livello applica1vo Marco Ferrante Università di Genova/CTS IDEM

Configurazione base di un IdP

Shibboleth e Google Apps

SQL Server Architettura Client-Server. SQL Server Introduzione all uso di SQL Server Dutto Riccardo.

3.3.6 Gli operatori Le funzioni di accesso al tipo Le strutture di controllo Le funzioni

MySQL per amministratori di database

Informazioni sull'installazione della libreria e del plugin per Joomla! Spid for Joomla!

Cosa è importante: pom.xml Goal Plug-in Repository

SPID - Politecnico di Milano Roberto Gaffuri - Area Servizi ICT Workshop GARR 2017 Roma 7 aprile 2017

ALLEGATO AL CAPITOLATO TECNICO

ARCHIVIA PLUS - DOCPORTAL

Nunzio Napolitano (Università degli Studi di Napoli PARTHENOPE ) IdP configurazione base Connessione con un SP

Installazione di un Identity Provider

X-RiteColor Master Web Edition

Symantec IT Management Suite 8.0 powered by Altiris technology

Samsung Universal Print Driver Guida dell utente

Europea C(2011) 9029 del con cui è stato adottato il nuovo PO FESR della Regione Puglia;

Accesso alla rete di Ateneo tramite servizio VPN

Guida alla Configurazione del Client di posta Microsoft XP Outlook 2006

Shibboleth enabling a web service: Nilde s case study

Guida del dispositivo Bomgar B200

HOWTO Install Raptor ICA on Debian Linux

Guida all uso dei servizi Mail:

SIST Sistema Informativo Sanitario Territoriale MANUALE DI INSTALLAZIONE DI CISCO ANYCONNECT SECURE MOBILITY CLIENT

Installazione di Sigla Ultimate

GUIDA OPERATIVA INTEGRAZIONE MODULO AGOF24

REASON MULTILICENZA. Appunti di Informatica Musicale Applicata 19 LUGLIO IO PARLO ITALIANO

Procedura di Installazione Certificati HTTPS Rete Protetta Versione 02

Le Attribute Authority e il Virtual Organization Management

ACCESSO AI PORTALI DIREZIONALI REGIONALI

Per richiedere il certificato l utente deve provvedere, nel proprio ambiente informatico, alla generazione della CSR (Certificate Sign Request).

Dipartimento Affari Interni e Territoriali Direzione Centrale per i Servizi Demografici INA-SAIA. SSLProxy. Manuale Utente. versione 1.

Le problematiche di Identity Management per una organizzazione grande ed eterogenea 2 Convegno IDEM Bari, 9-10 Marzo 2010

Riferimento rapido dell'applicazione Novell Filr 2.0 Web

Corso Programmazione Java Standard

Pagina 1 di 6. Client SOAP di test per i servizi del Sistema di Interscambio. Indice

Guida di orientamento della documentazione di Business Objects BI Server

Installazione - Android

Transcript:

Università di Modena e Reggio nell Emilia 30 marzo 2009

Introduzione Lo scopo di questo tutorial è: installare un Shibboleth Service Provider 2.0 su Debian Lenny; provarlo.

Prerequisiti web server Apache2.2 ntp

Installazione del servizio. Download del modulo: apt-get install libapache2_mod_shib2 Attenzione al 2 di shib2 (esiste anche libapache2_mod_shib) Creazione di una cartella protetta: aggiungere in /etc/apache2/sites-available/default 1 <Location /secure> AuthType shibboleth ShibRequireSession On require valid-user </Location> Abilitazione del modulo: a2enmod shib2 /etc/init.d/apache2 force-reload 1 Ricordarsi di creare la cartella secure.

File di configurazione - panoramica Si trovano in /etc/shibboleth/ shibboleth2.xml impostazioni generali del servizio; attribute-map.xml definisce la conversione tra gli attributi ricevuti dallo IdP e le variabili server; attribute-policy.xml definisce l accettabilità degli attributi a partire dal loro formato. Test della correttezza sintattica del servizio: shibd -t /etc/shibboleth/shibboleth2.xml

shibboleth2.xml Minimo indispensabile da variare: EntityID in ApplicationDefaults; SessionInitiator, con l url dell IdP da contattare; MetadataProvider; CredentialResolver, con il path per chiave e certificato; Errors, con i propri riferimenti;

shibboleth2.xml - segue Esempio di SessionInitiator: <SessionInitiator type="chaining" Location="/IDEM" id="wayf" isdefault="true" relaystate="cookie"> <SessionInitiator type="saml2" defaultacsindex="1" template="bindingtemplate.html"/> <SessionInitiator type="shib1" defaultacsindex="5"/> <SessionInitiator type="wayf" defaultacsindex="5" URL="https://wayf.idem.garr.it/WAYF"/> </SessionInitiator> <SessionInitiator type="chaining" Location="/Login" id="intranet" relaystate="cookie" entityid="https://idem-idp.dmz-ext.unimo.it/idp/shibboleth"> <SessionInitiator type="saml2" defaultacsindex="1" template="bindingtemplate.html"/> <SessionInitiator type="shib1" defaultacsindex="5"/> </SessionInitiator> Si usa lo Id nella sezione RequestMap per richiedere uno specifico IdP: <RequestMapper type="native"> <RequestMap applicationid="default"> <Host name="test-sp.dmz-ext.unimo.it"> <Path name="idem" authtype="shibboleth" requiresession="true" requiresessionwith="wayf"/> <Path name="test-idp" authtype="shibboleth" requiresession="true" requiresessionwith="intranet"/> </Host> </RequestMap> </RequestMapper>

shibboleth2.xml - segue Esempio di MetadataProvider: <MetadataProvider type="chaining"> <!-- Esempio di metadata firmato su url remoto. --> <MetadataProvider type="xml" uri="https://www.idem.garr.it/docs/conf/signed-metadata.xml" backingfilepath="idem-metadata.xml" reloadinterval="7200"> <SignatureMetadataFilter certificate="signer_bundle.pem"/> </MetadataProvider> <!-- Metadata locale --> <MetadataProvider type="xml" file="metadata2.xml"/> </MetadataProvider>

attribute-map.xml Esempio del mappaggio di un attributo: <Attribute name="urn:mace:dir:attribute-def:edupersonprincipalname" id="eppn"> <AttributeDecoder xsi:type="scopedattributedecoder"/> </Attribute> <Attribute name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" id="eppn"> <AttributeDecoder xsi:type="scopedattributedecoder"/> </Attribute> Nell esempio si esporta nella variabile d ambiente eppn l attributo in formato SAML1 urn:mace:dir:attribute-def:edupersonprincipalname e quello in formato SAML2 urn:oid:1.3.6.1.4.1.5923.1.1.1.6. In questo modo lo SP può ricevere asserzioni SAML da IdP Shibboleth2.* o Shibboleth1.*

Generare il frammento di metadata http://localhost/shibboleth.sso/status http(s)?://fqdn/shibboleth.sso/metadata

I log I log di Shibboleth sono: /var/log/shibboleth/shibd.log funzionamento del demone, dialogo con lo IdP, scambio degli attributi; /var/log/shibboleth/transaction.log log forensico: tiene traccia delle transazioni effettuate con lo IdP; il valore del NameIdentifier permette di collegare le entry di questo log con quelle dello IdP (shib-access.log); /var/log/apache2/native.log autorizzazione; Come opzione predefinita del.deb l ultimo file è sostituito dalla ridirezione in /var/log/messages tramite syslog. Per creare il native.log, decommentarne la sezione in /etc/shibboleth/native.logger ed eseguire: touch /var/log/apache2/native.log chown www-data /var/log/apache2/native.log

Controllo accesso con HtAccessControl In una sezione <Location> dopo i necessari: AuthType shibboleth ShibRequireSession On è possibile aggiungere una o più direttive tipo: require affiliation staff@uniprova.it member@uniprova.it che sono in OR logico tra di loro a meno che non sia definito: ShibRequireAll on È possibile usare le espressioni regolari con una tilde dopo l alias: require affiliation ~ ^staff@uni.*\.it$

Lazy sessions Talvolta può essere necessario non obbligare l utente all autenticazione Shibboleth. Ad esempio possono coesistere due autenticazioni (Shibboleth ed una locale) tra cui l utente può scegliere. Sono necessarie due modifiche: sessioni pigre sessioni strette <Location /secure> AuthType shibboleth Require shibboleth </Location> <Location /secure> AuthType shibboleth ShibRequireSession On require valid-user </Location> in shibboleth.xml settare a false il requiresession della directory da proteggere: <Path name="secure" authtype="shibboleth" \ requiresession="false"/>

Lazy sessions 2 E per permettere l autenticazione Shibboleth in una lazy session? Ridirigere l utente al concatenamento: hostname dello SP; indirizzo del WAYF (come specificato nel SessionInitiator); stringa fissa:?target= indirizzo completo cui ridirigere l utente dopo l autenticazione (url-encoded) Esempio: http://idem-sp.dmz-ext.unimo.it/shibboleth.sso/intranet? \ target=https%3a%2f%2fidem-sp.dmz-ext.unimo.it%2fsecure

webisoget È una utility per lo scripting di interazioni http che includono autenticazioni shibboleth (può gestire il dialogo attraverso un WAYF). Download: http://staff.washington.edu/fox/webisoget/ Installazione con./configure --prefix=/opt/webisoget make make install

webisoget Creare un file con le credenziali: j_username=user; j_password=password Creare un script per automatizzare il lancio di webisoget #!/bin/bash export LD_LIBRARY_PATH=/opt/webisoget/lib/ /opt/webisoget/bin/webisoget -verbose -text -out text.txt \ -formfile form.login \ -url http://idem-sp.dmz-ext.unimo.it/secure/test.php

Riferimenti Documentazione ufficiale di Internet2 (https: //spaces.internet2.edu/display/shib2/home) Bellissimo howto di SWITCH per l installazione del pacchetto da sorgente (https: //www.switch.ch/aai/docs/shibboleth/switch/ 2.1/sp/deployment/debian-lenny-source.html) tutorial di Giacomo Tenaglia, 2 aprile 2007 (http://www. garr.it/meeting_aai/slide_sem/3sp.pdf)