Shibboleth SP-installation. Linux Redhat, CentOS, SUSE med Apache httpd Windows Server med IIS7

Relevanta dokument
Detta är en kort genomgång av vad Shibboleth är och hur du kopplar in ditt system.

Innehåll. Dokumentet gäller från och med version

TrustedDialog 3.3 installation

Standardkonfiguration Shibboleth - vad är med?

Manuell installation av SQL Server 2008 R2 Express för SSF Timing

Shibboleth IDP och ADFS + Sharepoint integration

Entitetskategorier. Att göra attributrelease enklare och samtidigt mer integritetsskyddande.

Dokumentation för VLDIT AB. Online classroom

Beställning av certifikat för anslutning till BankID (RP certificate) Version

Installationshjälp CentOS 5 ENTerprise

Certifikatbaserad inloggning via SITHS, tillämpningsexempel

Din egen webserver med Apache

Manuell installation av SQL Server 2008 R2 Express SP2 fo r SSF Timing

Installationsanvisningar

INSTALLATION AV KLIENT

SWAMID Webinar Vad skiljer SWAMID AL1 och SWAMID AL2?

INSTALLATION AV KLIENT

Utförande: I exemplet så kommer vi att utgå från att man gör laborationen i en Virtuell miljö (Virtualbox).

Installationsguide, Marvin Midi Server

LEX INSTRUKTION LEX LDAP

Användarbeskrivning för Metadatatjänsten

INSTALLATION AV KLIENT

Innehållsförteckning:

Dedikerad Server Vilket operativsystem ska jag välja? Är ni i startgroparna och ska beställa en dedikerad server eller en virtuell server?

Installationsguide. Innehållsförteckning

Innehållsförteckning ADSync Windows Azure Active Directory ADSynC- Installation Konfigurera ADSync... 4

Installationsguide ELCAD 7.10

Att koppla FB till AD-inloggning

Installationsguide. Innehållsförteckning

E-legitimationsnämndens legitimeringstjänster för test

LATHUND INSTALLATIONSANVISNINGAR PROJEKTSTRUKTUR 1 SAMMANFATTNING FUNKTIONER I INSTALLATIONSPAKET TEKNISK PLATTFORM...

Tjänstebeskrivning Extern Åtkomst COSMIC LINK. Version 1.0

INSTALLATION AV KLIENT

JobOffice SQL databas på server

Anvisning Tjänsteplattformen Driftsättning av Virtualiseringsplattformen

Beställning av Förlitandepart-certifikat Version

Unix-miljöer i större sammanhang

Grupp Policys. Elektronikcentrum i Svängsta Utbildning AB

Installationsanvisningar HogiaFastighet Pro

Installationsanvisning Boss delad databas

ADFS som IdP i SWAMID

Anvisningar för användare vid användning av e- Tjänster. Anvisningar och rekommendationer för användare av e-tjänster i samverkan SAML & SSO

Chaos VPN - Installera Cisco AnyConnect Windows 8

iphone, ipad... 9 Anslut... 9 Anslutningsproblem... 9 Ta bort tidigare inloggningar... 9 Ta bort profil... 9

Installationsanvisningar VisiWeb. Ansvarig: Visi Closetalk AB Version: 2.3 Datum: Mottagare: Visi Web kund

Integrera Linux mot AD

SWAMID. Nyttjandestatistik av SWAMID. Vad är SWAMID? Så, hur mycket används SWAMID idag? Vi vet inte.. en första demonstration!

Vision WEB Komma igång med Electrolux Webbokning Windows Server 2012 R2 8/31/2017

eduid Hans Nordlöf

Uppstart Agda PS Hosting

Byta bort SITHS-cert i frontend

Byggsektorns Miljöberäkningsverktyg Användarmanual

Installationsanvisningar

Installationsbeskrivning för CAB Service Platform med CABInstall

Telia Connect för Windows

REGION SKÅNE VDI KLIENTINSTALLATION

emopluppen Användning av "Ant" Niklas Backlund Version: 1.4 ( 2002/04/26 07:27:52 UTC)

Instruktion för användande av Citrix MetaFrame

Installationsanvisningar VISI Klient

Innehåll. Installationsguide

Manual licenserver. Installations och konfigurations-manual för Adtollo licenserver

Driftanvisningar för SiteVision 2.x. Katalogstruktur. Windows. 1. Driftanvisningar. Driftanvisningar SiteVision 2.x

Installationsguide, Marvin Midi Server

Ladda upp filer fra n PLC till PC

Köra programportalen med Windows 8

Uppkoppling, inloggning på SFK:s konto på join.me

Årsskiftesrutiner i HogiaLön Plus SQL

OBS! FÖRSÖK INTE INSTALLERA PROGRAMVARAN INNAN DU HAR LÄST DET HÄR DOKUMENTET.

Att koppla FB till AD-inloggning

Instruktion för integration mot CAS

Installationsanvisning HogiaFastighet SQL

Swedbank Mobile Loadtesting. LoadRunner Mobile App protocol

Introduktion till SAML federation

Personlig integritet, PUL och federationer

Electronic Purse Sweden AB

Multifaktorinloggning via SWAMID

Evodev AB web epost Telefon Fax

BizTalk Build & Deploy. Med Jenkins och PowerShell

Kompletterande instruktioner för installation och konfiguration av HMS-server för koppling mot KONTAKT

Teknisk plattform för version 3.7

Quick Start CABAS. Generella systemkrav CABAS / CAB Plan. Kommunikation. Säkerhet

Version Namn Datum Beskrivning 1.0 Förutsättningar Vitec Ekonomi 1.1 Marie Justering för krav på Windows Server

SITHS inloggning i AD

Så här byter du från Unifaun WebOrder (UWO) till Unifaun OnlineConnect (UOCT)

Installation xvis besökssystem, Koncern

Chaos VPN - Installera Cisco AnyConnect Windows 7

Scan Station Pro 550 Administration och serviceverktyg för Scan Station

Uppdatering av MONITOR Mobile 8.0

Installationsanvisningar HogiaLön Plus

Anvisningar e-tjänster. Anvisningar och rekommendationer för e-tjänster i samverkan SAML & SSO

Installation av WinPig Slakt

Innehåll 1 Inledning Serverinstallation 2.1 Systemkrav 2.2 SQL Server 2.3 Behörighet vid installation 2.4 Behörighetskontroll i Microsoft SQL Server

Installationshandledning fo r Novapoint GeoSuite Toolbox 2014

Installationsmanual ImageBank 2

Installationsanvisningar. till IST Analys

Installationshandbok.

Innehållsförteckning Introduktion Installation, konfiguration & Matchning Installation på primära domänkontrollanten...

Microsoft Internet Information Services 7 / 7.5

Installera din WordPress med 9 enkla steg

Transkript:

Shibboleth SP-installation Linux Redhat, CentOS, SUSE med Apache httpd Windows Server med IIS7

Länkar till beskrivning av installation Grundmaterialet för hur man installerar en Shibboleth SP finns här: https://wiki.shibboleth.net/confluence/display/shib2/installation https://wiki.swamid.se/pages/viewpage.action?pageid=31201449 På dessa platser hittar man också en massa tips och trix för att kunna installera på plattformar som inte täcks i denna webinar.

Linux-installation (Rhel, CentOS, SUSE) Shibboleth stöder bara installation på ovanstående OSdistributioner, men det går utmärkt att installera på ex.vis ubuntu, debian etc. Jag har valt att redovisa hur man kan installera shibboleth out of the box (rpm och yum) med RHEL6 64-bitars och apache httpd 2.x Man bör notera att RHEL6.x (och CentOS6.x) inte har en för shibboleth fungerande libcurl-version. Installationen kommer att skapa ett bibliotek med en fungerande libcurl i /opt/shibboleth/- katalogen Denna installation fungerar inte om man har SELinux enforced (standard i RHEL, CentOS), sätt den i disabled eller permissive.

Installera Installera httpd med yum: # yum install httpd.x86_64 # yum install mod_ssl Installera repos: # wget -P /etc/yum.repos.d http://download.opensuse.org/repositories/security://shibboleth/rhel_6/security:shibboleth.repo Installera senaste shibboleth: # yum install shibboleth.x86_64 KLART Resten är konfiguration av httpd och shibboleth2, den senare är samma för windows så det tar vi sen

Konfigurera apache httpd 2.x Installeras Shibboleth med yum, så kommer automatiskt Apache-modulen mod_shib att installeras och aktiveras. Det som sedan behöver göras är att ta reda på hur den aktuella tjänsten behöver skyddas: 1. Ska hela siten skyddas, så att ingen del an tjänsten är tillgänglig utan inloggning? 2. Ska en viss del (path) av siten skyddas, så att vissa delar av tjänsten kan besökas utan inloggning, medan en viss del kommer kräva inloggning? I din <VirtualHost> lägger du till en <Location>-tagg för det du vill skydda (/etc/httpd/conf.d/shib.conf): <Location /> </Location> AuthType shibboleth ShibRequestSetting requiresession 1 Require valid-user Det som behöver ändras baserat på hur tjänsten ska skyddas är vilken path man anger. Vid alternativ 1 och 2, anger man root-pathen (som i exemplet) eller den path som ska skyddas

Konfigurera apache httpd (forts.) Inloggningshantering i Tjänsten/Applikationen Inloggningsinformation (användarnamn och ev. namn eller andra attribut om den inloggade användaren) sätts som HTTP-variabler av Apache. Om hela eller en viss del av siten är skyddad och applikationen endast kräver en lyckad inloggning, behöver inget speciellt göras. Inloggningen hanteras då av Shibboleth och mod_shib i Apachen, innan applikationen görs tillgänglig. Om applikationen däremot behöver veta användarnamn eller andra attribut-värden, måste alla sidor som kräver inloggning, kunna läsa de aktuella HTTP-variablerna. http environment eller http headers Olika tjänster vill få översända attribut levererade på olika sätt, ex.vis kommer javaapplikationer att ta emot http omgivningsvariabler, medan exempelvis phpapplikationer behöver få variablerna levererade som http headers. I den av shibbolethinstallationen skapade shib.conf kan man lägga till: ShibUseHeaders On för att få attributen levererade som http headers.

Windows Server med IIS7 Det finns installationsanvisningar för andra versioner av IIS under: https://wiki.shibboleth.net/confluence/display/shib2/ NativeSPWindowsInstall Där finns också anvisningar om man vill köra apache httpd som webserverver Jag har valt att redovisa hur man kan installera shibboleth om man redan har IIS 7 installerad på en 64-bitars windows server Nuvarande versioner av shibboleth installationsprogram kräver att man har satt kompatibilitet med IIS 6 Installationen måste tyvärr avslutas med att man bootar om servern, varför det är bra att planera insatsen om det är så att servern tjänar flera andra tjänster/applikationer.

Installera.. Först måste man göra IIS beredd att kunna hanteras av installationsprogrammet. Om man inte gör det måste man göra IIS-inställningarna manuellt: I IIS Management Console: disable IIS "Shared Configuration option installera alla "IIS 6 Management Compatibility Hämta shibboleth-sp-2.5.3-win64.msi från http://shibboleth.net/ downloads/service-provider/latest/win64/ och kör installation. Svara ja på frågan om ISAPI skall konfigueras. Avsluta med omstart. KLART! Nu återstår bara att konfigurera shibboleth!

Konfiguration av shibboleth SP Om man har installerat enligt ovan, så finns shibboleth på /etc/shibboleth för linux och på c: \opt\shibboleth\etc\shibboleth för windows. Dessa defaults kan ändras under installation. De filer man behöver konfigurera är attributemap.xml och shibboleth2.xml Om man hämtar IdP-metadata från SWAMID måste man också hämta ned SWAMIDs signercert

attribute-map.xml SWAMID rekommenderar att alla bortkommenderade attribut i attributemap.xml görs tillgängliga, samt att man lägger till noredu-attributen. Ta bort kommentaren kring de två sista attribut-blocken under texterna: Some more eduperson attributes... samt Examples of LDAP-based attributes.... noredu-attributen kan hämtas här: https://wiki.swamid.se/pages/viewpage.action?pageid=31201547

noredu-attributen <Attribute name="urn:mace:dir:attribute-def:noredupersonlegalname" id="noredupersonlegalname"/> <Attribute name="urn:mace:dir:attribute-def:noredupersonnin" id="noredupersonnin"/> <Attribute name="urn:mace:dir:attribute-def:noredupersonlin" id="noredupersonlin"/> <Attribute name="urn:mace:dir:attribute-def:noreduorgacronym" id="noreduorgacronym"/> <Attribute name="urn:mace:dir:attribute-def:noredupersonbirthdate" id="noredupersonbirthdate"/> <Attribute name="urn:mace:dir:attribute-def:noreduorguniqueidentifier" id="noreduorguniqueidentifier"/> <Attribute name="urn:mace:dir:attribute-def:noreduorgunituniqueidentifier" id="noreduorgunituniqueidentifier"/> <Attribute name="urn:mace:dir:attribute-def:noreduorgnin" id="noreduorgnin"/> <Attribute name="urn:mace:dir:attribute-def:noreduorguniquenumber" id="noreduorguniquenumber"/> <Attribute name="urn:mace:dir:attribute-def:noreduorgunituniquenumber" id="noreduorgunituniquenumber"/> <Attribute name="urn:oid:1.3.6.1.4.1.2428.90.1.10" id="noredupersonlegalname"/> <Attribute name="urn:oid:1.3.6.1.4.1.2428.90.1.5" id="noredupersonnin"/> <Attribute name="urn:oid:1.3.6.1.4.1.2428.90.1.4" id="noredupersonlin"/> <Attribute name="urn:oid:1.3.6.1.4.1.2428.90.1.6" id="noreduorgacronym"/> <Attribute name="urn:oid:1.3.6.1.4.1.2428.90.1.3" id="noredupersonbirthdate"/> <Attribute name="urn:oid:1.3.6.1.4.1.2428.90.1.7" id="noreduorguniqueidentifier"/> <Attribute name="urn:oid:1.3.6.1.4.1.2428.90.1.8" id="noreduorgunituniqueidentifier"/> <Attribute name="urn:oid:1.3.6.1.4.1.2428.90.1.12" id="noreduorgnin"/> <Attribute name="urn:oid:1.3.6.1.4.1.2428.90.1.1" id="noreduorguniquenumber"/> <Attribute name="urn:oid:1.3.6.1.4.1.2428.90.1.2" id="noreduorgunituniquenumber"/> <Attribute name="urn:oid:1.3.6.1.4.1.25178.1.2.9" id="schachomeorganization" />

shibboleth2.xml Detta är den centrala konfigurationsfilen för din shibboleth-installation För att konfigurera shibboleth2.xml behöver du veta följande: Vilken IdP eller DS som SP:n skall återpeka användaren till för autentisiering (och attributöverföring) Var metadata för IdP(erna) skall hämtas Hur dessa metadata är signerade

Shibboleth2.xml forts.. 1 Sök upp: <ApplicationDefaults entityid=https://sp.example.org/shibboleth REMOTE_USER="eppn persistent-id targeted-id"> Ändra till SP:ns maskinnamn I windows tillkommer taggarna: <Site id="1" name="sp.example.org"/> och <Host name="sp.example.org <Path name="secure" authtype="shibboleth" requiresession="true"/> Ändra dem så shibboleth skickar till rätt applikation!

Shibboleth2.xml forts.. 2 Om du registrerar din SP hos SWAMID och vill använda SWAMIDs DS (Discovery Service) för val av IdP skall du kommentera bort elementet som börjar med: <SSO entityid Och i stället lägga till en SessionInitator (exemplet förutsätter att du registrerat dina metadata i SWAMIDs testmetadataström): <SessionInitiator type="chaining" Location="/DS/ds-test.swamid.se" id="ds-test.swamid.se-ds" relaystate="cookie"> <SessionInitiator type="saml2" defaultacsindex="1" acsbyindex="false" template="bindingtemplate.html"/> <SessionInitiator type="shib1" defaultacsindex="5"/> <SessionInitiator type="samlds" URL="http://ds-test.swamid.se/role/idp.ds"/> </SessionInitiator> I annat fall lägger du in din IdP:s URL i <SSO entityid i stället för idp.example.org/

Shibboleth2.xml forts.. 3 I Sessions- taggen, sätt handlerssl= true och cookieprops= https Lägg till SWAMID som metadata provider: <!-- SWAMID Metadata --> <MetadataProvider type="xml" uri="http://md.swamid.se/md/swamid-idp-transitive.xml " backingfilepath= swamid-metadata.xml" reloadinterval="300"> <SignatureMetadataFilter certificate="swamid-signer.crt"/> </MetadataProvider>

Konfiguration av shibboleth SP sista detaljen Nu återstår bara en sak att hämta SWAMIDs signer-cert och lägga det där du angav i shibboleth2.xml (i exemplet swamid-signer.crt ) Linux: # wget -O /etc/shibboleth/swamid-signer.crt https://md.swamid.se/md/md-signer.crt Windows: Öppna en browser och hämta certifikatet på md.swamid.se/md/md-signer.crt. Lägg det som md-signer.crt på c:\opt\shibboleth\etc\shibboleth

Till sist.. Starta om allt och se att det fungerar Nu skall du kunna hämta metadata genom: https://tjänst.xx.se/shibboleth.sso/metadata Titta på metadata ser det konstigt ut, måste du kanske starta om webservern och försöka igen Skicka in metadata till operations@swamid.se tillsammans med uppgift om önskad entitetskategori och MDUI-information (Se wiki.swamid.se)

Slut för idag Frågor? - Fråga oss nu - Skicka frågor till operations@swamid.se - Skicka frågor eller ring någon i SWAMID operations Glöm inte att komma på SWAMIDs första workshop för året i Uppsala den 17-18/3!!!! Har du någon intressant fråga att diskutera i openspace den 18/3??