Installazione Shibboleth Service Provider su Debian-Linux



Documenti analoghi
Rapporto Tecnico N. 2 Ottobre IBIM Drive. Alessandro Pensato

Guida all'installazione dello Shibboleth Embedded Discovery Service su Debian-Linux. 8 Settembre Autori: Marco Malavolti Credits: Shibboleth

Installazione SimpleSAMLphp Identity Provider su Debian-Linux + Upgrade

Argomenti Percorso 7 Apache HTTP

CONFIGURAZIONE XAMPP + SSL (HTTPS)

Installazione LAMP. Installare un server lamp su Linux Ubuntu. Per installare un server LAMP in Ubuntu come prima cosa apriamo il terminale:

CONFIGURAZIONE WAMP SERVER + SSL (HTTPS)

Laboratorio di Sistemi Programmare in Php con NetBeans Php. Programmare in Php con Xampp e NetBeans IDE

Installazione Shibboleth IDP per Linux. 28 Gennaio 2015

Installazione di un Identity Provider

Installazione di uno Shibboleth SP 2 su Microsoft Windows 2003/2008 Server

Configurazione di sicurezza di XAMPP

Configurare un server LAMP con Ubuntu

ISPConfig: configurazione di un sito

OwnCloud 8 su rete lan aziendale (una specie di Gdrive privato)

Elementi di Sicurezza e Privatezza Laboratorio 3 - Web Server Apache (1) Chiara Braghin chiara.braghin@unimi.it!

Esercitazione 2 Certificati

INSTALLAZIONE DI JOOMLA! Guida alla installazione di Joomla!

HTTPD - Server web Apache2

11/02/2015 MANUALE DI INSTALLAZIONE DELL APPLICAZIONE DESKTOP TELEMATICO VERSIONE 1.0

XAMPP (a cura di Michele Acierno a.a. 2012/2013)

Shibboleth SP installazione e configurazione di base per SSO

Configurazione sicura di un server web Apache in ambiente Linux

GateManager. 1 Indice. tecnico@gate-manager.it

Shibboleth SP installazione e configurazione di base per SSO

Classificazione: Pubblico Guida alla configurazione di DigitalSign

Overview su Online Certificate Status Protocol (OCSP)

Liberamente adattato da Linux Server per l'amministratore di rete di Silvio Umberto Zanzi

Thunderbird è il client di posta elettronica open source (completamente gratuito) multipiattaforma sviluppato dal team di Mozilla.

Esercitazione 02. Sommario. Un po di background (1) Un certificato digitale in breve. Andrea Nuzzolese

Utilizzo di Certificati SSL e relative implicazioni

Apache Webserver. Piccola introduzione all'installazione ed alla configurazione, a cura di: Alessandro Gervaso

Voipuo JRE Come installare Java Runtime Enviroment

Shibboleth SP con Debian

IBM SPSS Statistics per Linux - Istruzioni di installazione (Licenza per sito)

quick start Istruzioni per l installazione

GARR Certificate Service & Federazione IDEM. Simona Venuti - GARR

MODEM USB MDC525UP Guida Rapida LINUX

Introduzione a phpmyadmin

Scritto da Administrator Martedì 21 Ottobre :47 - Ultimo aggiornamento Lunedì 03 Ottobre :56

CONFIGURARE SAMBA 3 SU SUSE LINUX 9.1/9.2

Il Web Server e il protocollo HTTP

Xampp. Valeriano Maysonnave - A.A. 2014/2015 -

Progetto Porte Aperte sul Web Comunicazione web a scuola CMS open source JoomlaFAP

1 Introduzione Installazione Configurazione di Outlook Impostazioni manuali del server... 10

Node.js + Drupal. Luca Lusso. giovedì 1 dicembre 11

CONFIGURAZIONE DEI SERVIZI (seconda parte)

MANUALE DI SCARICO ED INSTALLAZIONE DEL CERTIFICATO DIGITALE MANUALE DI SCARICO ED INSTALLAZIONE DEL CERTIFICATO DIGITALE

Laboratorio di Progettazione Web

RELAZIONE DI PROGETTO DELL ESAME STRUMENTI PER APPLICAZIONI WEB

Console di Amministrazione Centralizzata Guida Rapida

IBM SPSS Statistics per Mac OS - Istruzioni di installazione (Licenza per sito)

UNIVERSITA DI CATANIA

MI/ICCA Manuale Installazione Workstation Utente nell ambito del progetto FIPAV

Configurazione del Sistema Operativo Microsoft Windows XP per accedere alla rete Wireless dedicata agli Ospiti LUSPIO

Terza lezione: Directory e File system di Linux

Guida all'installazione rapida di scansione su

Samba: guida rapida - Guide@Debianizzati.Org

DynDNS tra Client e server Linux Ubuntu (Client e server 8.04 LTS)

NetMonitor. Micro guida all uso per la versione di NetMonitor

Referti on-line Service Monitor Manuale d installazione. Versione 1.0

IBM SPSS Statistics per Windows - Istruzioni di installazione (Licenza per sito)

Creare un sito con WordPress L installazione e i primi passi da compiere. Eugenio Molinario Digitalizzatore Camera di Commercio di Avellino

Dunque, per fare quello che ci siamo preposti abbiamo bisogno di tre cose:

Specifiche di installazione LibreOffice tramite policy di Active Directory

Introduzione ad EasyPHP

Apache 2, PHP5, MySQL 5

C:\Users\claudio\Desktop\zabbix.txt lunedì 22 ottobre :57

WBS-01 Guida rapida alla configurazione

Introduzione a XAMPP. Andrea Atzeni (shocked@polito.it) Marco Vallini (marco.vallini@polito.it) Politecnico di Torino Dip. Automatica e Informatica

NOTE OPERATIVE DI RELEASE

Application Server per sviluppare applicazioni Java Enterprise

Guida all'installazione dello Shibboleth Embedded Discovery Service v1.1.0 su Debian-Linux

ISTRUZIONI OPERATIVE

Magento - guida all'installazione

Corso basi di dati Installazione e gestione di PWS

Corso di Alfabetizzazione Informatica

19. LA PROGRAMMAZIONE LATO SERVER

Manuale LiveBox APPLICAZIONE IOS.

I s t r u z i o n i o p e r a t i v e. S t a z i o n e A p p a l t a n t e. S i. C e. A n t.

Sistema Informativo Valutazioni e PRocedimenti Ambientali (SIPRA)

PHP, MySQL e Linux con RedHat 7.2

Guida Rapida alla configurazione di EGX300 per la connessione a REM

Assicurarsi che sul PC sia installato il servizio Accesso Remoto (RAS), nel caso non fosse presente, è necessario procedere all installazione

Indice Configurazione di PHP Test dell ambiente di sviluppo 28

Configurazione manuale di Mozilla Thunderbird 5.0 per Uniba da casa.

Software Servizi Web UOGA

PROCEDURA AGGIORNAMENTO LISTE MEDIANTE L INTERFACCIA WEB


Configurazione avanzata di XAMPP

ENTRATEL: Servizio telematico Agenzia delle Entrate

PRODUZIONE PAGELLE IN FORMATO PDF

Transcript:

Installazione Shibboleth Service Provider su Debian-Linux 28 Gennaio 2015 Autori: Marco Malavolti Credits: Shibboleth, SWITCH AAI

Indice generale 1) Introduzione...3 2) Software da installare...3 3) Richiedere il certificato per l'sp...4 4) Modifica del file hosts...4 5) Installare apache2, libapache2-mod-shib2, openssl, php5 e ntp...4 5.1) Installare Shibboleth Service Provider...5 2

1 Introduzione Questo documento ha lo scopo di guidare l'utente nell'installazione di un SP Shibboleth su Debian Linux 2 Software da installare openssl; ntp; apache2 libapache2-mod-shib2 php5 3

3 Richiedere il certificato per l'sp a) In linea con le specifiche tecniche della Federazione IDEM è necessario installare sulla porta 443 un certificato rilasciato da una CA riconosciuta. All'interno della comunità GARR è attivo il servizio di rilascio certificati server denominato TCS (TERENA Certificate Service). La caratteristica dei certificati TCS è quella di essere emessi da una CA commerciale che nello specifico consiste in COMODO CA. b) L'elenco delle organizzazioni presso le quali il servizio TCS è già attivo è disponibile in https://ca.garr.it/tcs/tab.php c) Se il servizio non fosse ancora attivo presso la vostra organizzazione è possibile contattare GARR Certification Service per avviare il procedimento di attivazione (e-mail a garr-ca@garr.it) d) Per generare una richiesta di certificato seguire le istruzioni suggerite nelle pagine di documentazione TCS (https://ca.garr.it/tcs/doc_server.php) Le richieste di certificato devono essere inviate ai referenti TCS presenti nella vostra organizzazione (denominati Contatti Amministrativi TCS). Per conoscere i nomi dei Contatti Amministrativi nominati all'interno del vostro Ente inviare una mail di richiesta a garr-ca@- garr.it 4 Modifica del file hosts sudo nano /etc/hosts aggiungendo alla lista l'ip e il Nome della macchina scelta per ospitare il Service Provider di Shibboleth. (Es.: 127.0.1.1 sp-test.example.org sp-test) 5 Installare apache2, libapache2-mod-shib2, openssl, php5 e ntp 1 a) Installare i pacchetti necessari: sudo apt-get install apache2 libapache2-mod-shib2 openssl php5 ntp b) Verificare che compaia It Works! da http://sp-test.example.org o da http://127.0.1.1. 1 per ubuntu 10.04 e superiori 4

5.1 Installare Shibboleth Service Provider 1) Acquisire i permessi di ROOT e creare la cartella secure : sudo su - cd /var/www mkdir secure 2) Inserire il seguente file /var/www/secure/index.php: <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/tr/html4/loose.dtd"> <html> <head> <title></title> <meta name="generator" content="quanta Plus"> <meta http-equiv="content-type" content="text/html; charset=utf-8"> </head> <body> <p> <a href="https://sp-test.example.it/privacy.html">politica della Privacy</a> </p> <?php foreach ($_SERVER as $key => $value){ } print $key." = ".$value."<br>"; /*foreach ($_ENV as $key => $value){ } print $key." = ".$value."<br>"; foreach ($_COOKIE as $key => $value){ }*/ print $key." = ".$value."<br>";?> </body> </html> 5

3) Modificare /etc/apache2/sites-available/default-ssl aggiungendo quanto segue prima del </VirtualHost> finale: <Location /secure> AuthType shibboleth ShibRequireSession On require valid-user </Location> 4) Attivare il modulo shib2 e riavviare Apache2: a2enmod shib2 service apache2 restart 5) Prelevare l' idem_signer_2019.pem: wget https://www.idem.garr.it/documenti/doc_download/321-idem-metadatasigner-2019 -O /etc/shibboleth/idem_signer_2019.pem 6) Cambia i permessi al idem_signer_2019.pem: chmod 444 /etc/shibboleth/idem_signer_2019.pem 7) Modificare le voci seguenti del file shibboleth2.xml : a) Modificare "sp.example.org" con il proprio FQDN (es. "sp-test.example.org" ) b) Sostituire come segue: <SSO entityid="https://idp.example.org/shibboleth" discoveryprotocol="samlds" discoveryurl="https://ds.example.org/ds/wayf"> </SSO> SAML2 SAML1 deve diventare: <SSO discoveryprotocol="samlds" discoveryurl="https://wayf.idem-test.garr.it/wayf"> SAML2 SAML1 </SSO> c) Modificare il tag <Errors> come segue: <Errors supportcontact="<email.di@supporto.it>" logolocation="/usr/share/shibboleth/logo.jpg" stylesheet="/usr/share/shibboleth/main.css"/> 6

d) Inserire il seguente <MetadataProvider>: <MetadataProvider type="xml" uri="http://www.garr.it/idem-metadata/idem-test-metadata-sha256.xml" backingfilepath="idem-test-metadata-sha256.xml" reloadinterval="7200"> <MetadataFilter type="signature" certificate="idem_signer_2019.pem"/> </MetadataProvider> e) Aggiungere le necessarie informazioni MDUI del proprio SP nel file /etc/shibboleth/shibboleth2.xml,senza aggiungere tabulazioni o spazi, seguendo le indicazioni del template fornito QUI: <!-- Extension service that generates "approximate" metadata based on SP configuration. --> <Handler type="metadatagenerator" Location="/Metadata" signing="false"> <mdui:uiinfo xmlns:mdui="urn:oasis:names:tc:saml:metadata:ui"> <mdui:displayname xml:lang="en">eng DisplayName SP</mdui:DisplayName> <mdui:displayname xml:lang="it">ita DisplayName SP</mdui:DisplayName> <mdui:description xml:lang="en">eng Description SP</mdui:Description> <mdui:description xml:lang="it">ita Description SP</mdui:Description> <mdui:informationurl xml:lang="en">eng_page_info_url</mdui:informationurl> <mdui:informationurl xml:lang="it">ita_page_info_url</mdui:informationurl> <mdui:logo height="16" width="16" xml:lang="en">eng_logo_url_https_16x16</mdui:logo> <mdui:logo height="16" width="16" xml:lang="it">ita_logo_url_https_16x16</mdui:logo> <mdui:logo height="60" width="80" xml:lang="en">eng_logo_url_https_80x60</mdui:logo> <mdui:logo height="60" width="80" xml:lang="it">ita_logo_url_https_80x60</mdui:logo> </mdui:uiinfo> <md:attributeconsumingservice index="1"> <md:servicename xml:lang="en">eng DisplayName SP</md:ServiceName> <md:servicename xml:lang="it">ita DisplayName SP</md:ServiceName> <md:servicedescription xml:lang="en">eng Description SP</md:ServiceDescription> <md:servicedescription xml:lang="it">ita Description SP</md:ServiceDescription> <!-- example for the desiderd attribute: mail --> <md:requestedattribute FriendlyName="mail" Name="urn:oid:0.9.2342.19200300.100.1.3" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" /> <!-- example for the required attribute: edupersonprincipalname --> <md:requestedattribute FriendlyName="eppn" Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" 7

isrequired="true" /> </md:attributeconsumingservice> <md:organization> <md:organizationname xml:lang="en">eng Org Name</md:OrganizationName> <md:organizationname xml:lang="it">ita Org Name</md:OrganizationName> <md:organizationdisplayname xml:lang="en">eng Org DisplayName</md:OrganizationDisplayName> <md:organizationdisplayname xml:lang="it">ita Org DisplayName</md:OrganizationDisplayName> <md:organizationurl xml:lang="en">eng_page_org_url</md:organizationurl> <md:organizationurl xml:lang="it">ita_page_org_url</md:organizationurl> </md:organization> <md:contactperson contacttype="technical"> <md:givenname>system</md:givenname> <md:surname>support</md:surname> <md:emailaddress>mailto:system.support@domainorg.it</md:emailaddress> </md:contactperson> </Handler> 8) Creare 1 certificato e 1 chiave autofirmati per l'sp eseguendo il comando: /usr/sbin/shib-keygen 9) Verificare che le modifiche effettuate siano corrette eseguendo il comando: shibd -t /etc/shibboleth/shibboleth2.xml 10) Modificare il file /etc/apache2/ports.conf e rimuovere/commentare le seguenti righe per impedire l'accesso in HTTP: namevirtualhost *:80 Listen 80 11) Modificare il file /etc/apache2/sites-available/default-ssl come segue: <Directory /> Options FollowSymLinks AllowOverride None </Directory> diventa: <Directory /> Options None AllowOverride None Order deny,allow Deny from all 8

</Directory> LogLevel warn ==> LogLevel info <Directory /var/www/> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny Allow from all </Directory> diventa: <Directory /var/www/> Options None AllowOverride None Order allow,deny Allow from all RedirectMatch ^/$ /secure/ </Directory> Facoltativo: sotto a 'SSLEngine on' inserire: SSLProtocol all -SSLv2 -SSLv3 SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:!MEDIUM 12) Creare la cartella /etc/shibboleth/cert-from-ca e inserire al suo interno il certificato e la chiave privata ricevuti dalla CA per le pagine HTTPS del Service Provider. 13) Rinominarli in 'ssl-cert.pem' e 'ssl-key.pem' 14) Modificare il file /etc/apache2/sites-available/default-ssl come segue: SSLCertificateFile /etc/ssl/certs/ssl-cert-snakeoil.pem diventa: SSLCertificateFile /etc/shibboleth/cert-from-ca/ssl-cert.pem SSLCertificateKeyFile /etc/ssl/private/ssl-cert-snakeoil.key diventa: SSLCertificateKeyFile /etc/shibboleth/cert-from-ca/ssl-key.pem 9

15) Scaricare la catena TERENA: cd /etc/shibboleth/cert-from-ca wget https://ca.garr.it/mgt/terena-chain.pem 16) Modificare il file /etc/apache2/sites-available/default-ssl come segue: #SSLCertificateChainFile /etc/apache2/ssl.crt/server-ca.crt diventa: SSLCertificateChainFile /etc/shibboleth/cert-from-ca/terena-chain.pem 17) Abilitare il Service Provider a riconoscere gli attributi rilasciati da un LDAP: Aprire il file /etc/shibboleth/attribute-map.xml e rimuovere il commento al blocco sotto a <!--Examples of LDAP-based attributes, uncomment to use these... --> 18) Attivare il modulo ssl e il sito HTTPS di Apache eseguendo i seguenti comandi: a2enmod ssl a2ensite default-ssl service apache2 restart service shibd restart 19) Registrate i vostri Metadati, ottenibili alla URL https://fqdn.del.mio.sp/shibboleth.sso/metadata" sull IDEM Entity Registry: https://registry.idem.garr.it 20) In caso di problemi rivolgersi a idem-help@garr.it. 10

2026 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back