Workshop RCTSaai Parte II. Serviço Utilizador RCTS

Transcrição

1 Workshop RCTSaai Parte II Serviço Utilizador RCTS

2 ÍNDICE 1 IDENTITY PROVIDER SHIBBOLETH Componentes e Conceitos Componente SSO - Single Sign-On Service Componente AA - Attribute Authority Arquitectura IDP SHIBBOLETH V2.1 INSTALAÇÃO Hardware/Software Recomendado Instalação Assistida PASSO I - Download PASSO II - NTP PASSO III - OpenSSL PASSO IV - Apache Passo V - Tomcat Passo VI - MOD_JDK Passo VII - Shibboleth IDP 2.1 SHIBBOLETH - CONFIGURAÇÃO PASSO I - APACHE PASSO II - Tomcat PASSO III - IdP 2.1 Metadados PASSO IV - IdP 2.1 Autenticação PASSO V - IdP 2.1 Autorização Definir Atributos - attribute-resolver.xml Filtrar atributos - attribute-filter.xml PASSO VI - IdP 2.1 Configuração Geral PASSO VII - Logging e Debug UAPPROVE - INSTALAÇÃO PASSO I - Download PASSO II - IdP-Plugin PASSO III - Viewer UAPPROVE - CONFIGURAÇÃO PASSO I - Mysql PASSO II - IdP Plugin PASSO III - Redeployment of Shibboleth IdP PASSO IV - Viewer PASSO V - Atributos e Localização PASSO VI - Mod_JK i

3 LISTA DE IMAGENS Figura 1 Identity Provider Shibboleth Figura 2 Componente SSO (Single Sign On)... 3 Figura 3 Componente AA (Attribute Authority)... 4 Figura 4 - Shibboleth IdP Infra-estrutura de Suporte... 5 Figura 5 Infra-estrutura Recomendada... 6 Figura 6 Infra-estrutura Recomendada e Decisões Internas... 6 Fundação para a Computação Científica Nacional 1

4 1 IDENTITY PROVIDER SHIBBOLETH 1.1 COMPONENTES E CONCEITOS O Identity Provider Shibboleth é responsável por fornecer autenticação e libertar os atributos dos utilizadores. Os repositórios de dados que suportam a autenticação e os atributos dos utilizadores não fazem parte dos componentes do IdP, são utilizadas ligações internas a repositórios de dados (LDAP, Kerberos, SQL, etc.) externos. CONCEITOS Entity ID é um identificador único para um Identity Provider ou um Service Provider. No Shibboleth 2.1 o formato recomendado é um URL. Identity Provider: Service Provider: Figura 1 Identity Provider Shibboleth 2.1 Relying Party é considerado o SAML Peer com que o Identity Provider comunica, em todos os casos o "relying party" de um Identity Provider é sempre um Service Provider COMPONENTE SSO - SINGLE SIGN-ON SERVICE O serviço SSO é um recurso HTTP controlado pelo "Identity Provider". Este serviço é o primeiro ponto de contacto do IdP que recebe e processa pedidos de autenticação enviados através do browser pelo "Service Provider". O serviço SSO é responsável por iniciar o processo de autenticação através do componente AuthN que por sua vez é responsável por redireccionar o browser para o respectivo mecanismo de autenticação definido pelo "login handler". Fundação para a Computação Científica Nacional 2

5 A componente AuthN permite actualmente dois tipos de integração: Externa Configuração de "login handlers (RemoteUser)" que utilizam os servidores web ( Apache/Tomcat realm) para realizar a autenticação Interna Configuração de "login handlers (UsernamePassword)" que suporta um formulário de login do Shibboleth e utiliza o modulo JAAS sobre LDAP, SQL e Kerberos 5 para validar a autenticação. CONCEITOS Mecanismo de Autenticação mecanismo concreto utilizado para autenticar utilizadores Método de Autenticação identificador que um "relying party" pode utilizar para estipular como deve realizar-se a autenticação. Figura 2 Componente SSO (Single Sign On) Login Handler correlaciona todos os métodos de autenticação suportados com os mecanismos de autenticação configurados. Um login handler pode mapear mais do que um método de autenticação para o mesmo mecanismo de autenticação COMPONENTE AA - ATTRIBUTE AUTHORITY Este serviço é responsável por obter e codificar os atributos para transporte. A gestão de atributos pode dividir-se em duas instâncias: Resolver Responsável por realizar as "queries" aos repositórios de dados (LDAP,AD,SQL,etc.), converter e mapear os atributos para URN's, combinar e formatar múltiplos atributos. Filter Responsável por definir a "ARP - Attribute Release Policy " para SP's / federação. A "ARP - Attribute Release Policy" consiste num conjunto de regras que definem quais os atributos Fundação para a Computação Científica Nacional 3

6 a disponibilizar ao "Service Provider". A ARP funciona como um filtro na informação do utilizador que está armazenada num repositório de dados autorizado, decidindo o que pode e a quem pode ser disponibilizado. CONCEITOS Data Connectors: responsável por obter atributos dos repositórios de dados Attribute Definitions: transforma/combina/exibe conectores de atributos para codificar em SAML Figura 3 Componente AA (Attribute Authority) 1.2 ARQUITECTURA O Identity Provider Shibboleth 2.1 (IdP) é uma aplicação desenvolvida em Java e pode ser instalado em qualquer sistema que permita executar a "Java Virtual Machine" e um Servidor Web. Requisitos básicos para a instalação do Identity Provider Shibboleth 2.1: Java Virtual Machine Java Servlet HTTP Listener Fundação para a Computação Científica Nacional 4

7 Figura 4 - Shibboleth IdP Infra-estrutura de Suporte O JRE (Java Runtime Engine) permite a execução de aplicações Java e é composto por API's e pela JVM (Java Virtual Machine). Este componente garante o suporte à instalação do Tomcat (servidor de aplicações Java, Java Servlet e JavaServer Pages) que por sua vez vai alojar o Identity Provider Shibboleth 2.1 e permitir a execução das respectivas servlets (SSO e AA). A comunicação com os serviços SSO e AA são realizados recorrendo à camada de "SSL - Secure Socket Layer" utilizando os certificados X.509, garantindo assim a integridade e privacidade dos dados que circulam entre o browser do utilizador e o servidor. O Shibboleth tem sido testado extensivamente com o Tomcat, no entanto existem algumas fragilidades relativamente ao número máximo de ligações ao servidor web e Servlet Container. Como tal, é recomendado a utilização do "Apache Web Server" como o "frontend" do "IdP" para fornecer o serviço de autenticação e controlar o numero de pedidos ao Tomcat. O "Mod_Jk" é um módulo de "apache" que permite canalizar os pedidos de "Single Sign On" para os "servlets shibboleth" que residem no "tomcat". Fundação para a Computação Científica Nacional 5

8 Figura 5 Infra-estrutura Recomendada Na infra-estrutura do "Identity Provider" existem ainda alguns requisitos a garantir relativamente ao sistema operativo e repositórios que permitem o serviço de autenticação e autorização, a decisão relativamente estes requisitos encontra-se do lado da instituição: Sistema Operativo ( Windows, Linux, Mac OS X, e Solaris) Repositório de Autenticação ( LDAP, AD, CAS, Kerberos, SQL ) Repositório de Atributos ( LDAP, AD, SQL ) Figura 6 Infra-estrutura Recomendada e Decisões Internas Fundação para a Computação Científica Nacional 6

9 2 IDP SHIBBOLETH V2.1 INSTALAÇÃO 2.1 HARDWARE/SOFTWARE RECOMENDADO Hardware e SO: Máquina Virtual VMWare 1Gb RAM; SO CentOS 5.2 Software NTP Sincronização de relógio da Máquina Verificação de hora dos pedidos efectuados OpenSSL Criação de Certificados; Camada de SSL para cifra dos dados; Apache Frontend Aplicacional; JDK JAVA; Utilizado pelo software Shibboleth ; Tomcat Servlet Container ; Aplicações Identity Provider ; Mod_JDK Redireccionamento de pedidos entre apache e tomcat; MySql Utilização para mecanismo de consentimento do utilizador; Shibboleth Software que implementa AAI Fundação para a Computação Científica Nacional 7

10 2.2 INSTALAÇÃO ASSISTIDA Este pacote permite a execução de um script que irá despoletar a instalação dos componentes necessários para a instalação de um Identity Provider Shibboleth V Este pacote funciona em versões de sistema operativo CentOS, Fedora Core e Red Hat Linux PASSO I - DOWNLOAD Fundação para a Computação Científica Nacional 8

11 2.2.2 PASSO II - NTP PASSO III - OPENSSL PASSO IV - APACHE PASSO V - TOMCAT PASSO VI - MOD_JDK PASSO VII - SHIBBOLETH Fundação para a Computação Científica Nacional 9

12 3 IDP 2.1 SHIBBOLETH - CONFIGURAÇÃO 3.1 PASSO I - APACHE O ficheiro de configuração do "apache web server" reside em $APACHE_HOME/conf e designa-se por httpd.conf. Devido ao modo de funcionamento do "SSL" existente no "Apache", é necessária a utilização dos serviços do "IdP" em portos/"virtualhosts" distintos. O primeiro será utilizado para realizar o serviço de "SSO (Single Sign On)" e o segundo para realizar o serviço de "AA (Attribute Authority)". Para que os portos fiquem a atender pedidos para cada um dos "virtualhosts" são colocadas as seguintes directivas "Listen": Listen 443 Listen 8443 # # Serviço "SSO" # <VirtualHost MY_IP:443> DocumentRoot /html SSLEngine on ServerName MY_DNS SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP SSLOptions +StdEnvVars +ExportCertData SSLCertificateFile /path/ SSLCertificateKeyFile /path/ # # Mod_jk settings - Shibboleth # <IfModule!mod_jk.c> LoadModule jk_module modules/mod_jk.so </IfModule> JkWorkersFile path_para_ficheiro/workers.properties JkLogLevel debug JkLogFile logs/mod_jk.log JkMount /jsp-examples/* ajp13 JkMount /idp/* ajp13 </VirtualHost> Fundação para a Computação Científica Nacional 10

13 # # Serviço "AA" # <VirtualHost MY_IP:8443> DocumentRoot /html SSLEngine on ServerName MY_DNS SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP SSLOptions +StdEnvVars +ExportCertData SSLCertificateFile /path/ SSLCertificateKeyFile /path/ # # Mod_jk settings - Shibboleth # <IfModule!mod_jk.c> LoadModule jk_module modules/mod_jk.so </IfModule> JkWorkersFile path_para_ficheiro/workers.properties JkLogLevel debug JkLogFile logs/mod_jk.log JkMount /jsp-examples/* ajp13 JkMount /idp/* ajp13 </VirtualHost> NOTA: Para não colocar "password" no arranque "httpd" executar os seguintes passos cd /etc/httpd/conf/ssl.key cp yourserver.key yourserver.key.crypt openssl rsa -in yourserver.key.crypt -out yourserver.key Efectua a remoção da "password" da chave mas não altera o certificado. Será pedido para introduzir a "password" com que foi gerado o certificado. NOTA: Interligação do Apache com Tomcat através do módulo JK O modulo JK ou o modulo Proxy são responsáveis por canalizar os pedidos recebidos pelo "apache web server" para o servidor "Tomcat" que alberga os "servlets shibboleth". É necessário criar o ficheiro workers.properties com o seguinte conteúdo: # # This file provides minimal jk configuration properties needed to # connect to Tomcat. # worker.list=ajp13 worker.tomcat.host=localhost worker.tomcat.port=8009 worker.tomcat.type=ajp13 No final realizar "restart" ao apache para assumir as novas configurações, e para que os pedidos chegados ao apache nos "mounts" definidos sejam canalizados para o servidor tomcat". Fundação para a Computação Científica Nacional 11

14 3.2 PASSO II - TOMCAT O "Tomcat" deverá ser configurado para aceitar os pedidos provenientes do "apache" através do "mod_jk". O ficheiro server.xml possui as configurações do servidor "tomcat" (à semelhança do httpd.conf) e reside em $catalina_home/conf. Neste ficheiro coloca-se a variável request.tomcatauthentication="false" na secção AJP 1.3 port 8009 e é especificado o endereço como localhost para garantir apenas acessos do apache local com a variável address=" ". <!-- Define an AJP 1.3 Connector on port > <Connector port="8009" address=" " enablelookups="false" redirectport="8443" protocol="ajp/1.3" tomcatauthentication="false"/> Deve verificar que a estrutura "mod_jk/apache/tomcat" se encontra inteiramente funcional, garantindo que todos os serviços se encontram activados, reiniciando o apache e tomcat. Consequentemente e utilizando um browser dever-se-á aceder a Deve também verificar um conjunto de exemplos que demonstram que o "tomcat", "apache", "ssl" e "mod_jk" estão inteiramente funcionais. Aconselha-se a verificar se o seu SELINUX se encontra a bloquear qualquer pedido que possa causar impacto nas ligações. 3.3 PASSO III - IDP 2.1 METADADOS Actualização Periódica Metadados da Federação Para descarregar periodicamente o ficheiro de metadados para o "filesystem" através de um "cronjob" deve criar em /scripts o ficheiro refresh_metadata.sh com o seguinte conteúdo: #!/bin/sh rm -rf /path_shibboleth-idp/metadata/rctsaai_testbedmetadata.xml cd /path/shibboleth-idp/metadata/ wget -O /path_shibboleth-idp/metadata/rctsaai_testbedmetadata.xml chown tomcat:tomcat /path_shibboleth-idp/metadata/rctsaai_testbedmetadata.xml exit Dê permissões de execução a este ficheiro e verifique a sua boa execução. Para executar de trinta em trinta minutos é necessário editar a cron (crontab -e) e adicionar as seguintes linhas: Fundação para a Computação Científica Nacional 12

15 #Refresh Metadata 30 * * * * /scripts/cron/refresh_metadata.sh &> /dev/null Adicionar Informação do IDP instalado aos Metadados da Federação Para identificar o Identity Provider no ficheiro de metadados da federação é necessário adicionar o elemento EntityDescriptor. Este elemento é utilizado para descrever o IdP através da utilização do sub-elemento IDPSSODescriptor. Para gerar esta informação preencha o formulário no presente link e envie para rctsaai@fccn.pt. 3.4 PASSO IV - IDP 2.1 AUTENTICAÇÃO O processo de autenticação o software shibboleth utiliza o modulo JAAS1 (Java Autentication and Authorization System") com o objectivo de interagir com diversos tipos de repositórios. Para configurar este método dever-se-á editar o ficheiro login.config existente na directoria conf/ existente na raiz da instalação. Exemplos de Configuração (login.config) : LDAP login.xml ShibUserPassAuth { edu.vt.middleware.ldap.jaas.ldaploginmodule required base="dc=dc,dc=dc,dc=pt" host="x.x.x.x" port="389" servicecredential="secret" serviceuser="ldap_user" subtreesearch="true" userfield="samaccountname" referral="follow"; }; Fundação para a Computação Científica Nacional 13

16 No ficheiro de configuração handler.xml deve activar o suporte para SSO removendo os comentários no elemento LoginHandler. handler.xml <!-- Login Handlers --> <-- Username/password login handler --> <LoginHandler xsi:type="usernamepassword" jaasconfigurationlocation="file:///path_to/conf/login.config"> <AuthenticationMethod> urn:oasis:names:tc:saml:2.0:ac:classes:passwordprotectedtransport </AuthenticationMethod> <AuthenticationMethod> urn:oasis:names:tc:saml:2.0:ac:classes:unspecified </AuthenticationMethod> </LoginHandler> 3.5 PASSO V - IDP 2.1 AUTORIZAÇÃO Conf/attribute-resolver.xml Ficheiro onde é configurado o acesso ao repositório de dados e onde são traduzidos para os atributos a libertar para os serviços da federação. Conf/attribute-filter.xml Ficheiro onde são filtrados os atributos de acordo com as necessidades previstas pelo serviço. Esses filtros podem ser conseguidos através da utilização de expressões regulares. Fundação para a Computação Científica Nacional 14

17 3.5.1 DEFINIR ATRIBUTOS - ATTRIBUTE-RESOLVER.XML attribute-resolver.xml <!-- ============================================= --> <!-- MOODLE e SIMPLESAMLPHP-TESTE ATRIIBUTOS TESTE --> <!-- ============================================= --> <resolver:attributedefinition id="givenname" xsi:type="simple" xmlns="urn:mace:shibboleth:2.0:resolver:ad" sourceattributeid="givenname"> <resolver:dependency ref="ldapconnector" /> <resolver:attributeencoder xsi:type="saml1string" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" name="urn:mace:dir:attributedef:inetorgperson_givenname" /> <resolver:attributeencoder xsi:type="saml2string" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" name="urn:oid: " friendlyname="inetorgperson_givenname" /> </resolver:attributedefinition> <resolver:attributedefinition id="mail" xsi:type="simple" xmlns="urn:mace:shibboleth:2.0:resolver:ad" sourceattributeid="mail"> <resolver:dependency ref="ldapconnector" /> <resolver:attributeencoder xsi:type="saml1string" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" name="urn:mace:dir:attributedef:inetorgperson_mail" /> <resolver:attributeencoder xsi:type="saml2string" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" name="urn:oid: " friendlyname="inetorgperson_mail" /> </resolver:attributedefinition> <resolver:attributedefinition id="surname" xsi:type="simple" xmlns="urn:mace:shibboleth:2.0:resolver:ad" sourceattributeid="sn"> <resolver:dependency ref="ldapconnector" /> <resolver:attributeencoder xsi:type="saml1string" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" name="urn:mace:dir:attributedef:person_surname" /> <resolver:attributeencoder xsi:type="saml2string" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" name="urn:oid: " friendlyname="person_surname" /> </resolver:attributedefinition> <resolver:attributedefinition id="username" xsi:type="simple" xmlns="urn:mace:shibboleth:2.0:resolver:ad" sourceattributeid="samaccountname"> <resolver:dependency ref="ldapconnector" /> <resolver:attributeencoder xsi:type="saml1string" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" name="urn:mace:dir:attributedef:person_commonname" /> <resolver:attributeencoder xsi:type="saml2string" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" name="urn:oid: " friendlyname="person_commonname" /> <resolver:attributeencoder xsi:type="saml2stringnameid" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" name="urn:oid: " Fundação para a Computação Científica Nacional 15

18 nameformat="urn:oasis:names:tc:saml:1.1:nameid-format:unspecified" /> </resolver:attributedefinition> <!-- ========================================== --> <!-- Data Connector LDAP AD --> <!-- ========================================== --> <resolver:dataconnector id="ldapconnector" xsi:type="ldapdirectory" xmlns="urn:mace:shibboleth:2.0:resolver:dc" ldapurl="ldap://x.x.x.x:389" basedn="dc=dc,dc=dc,dc=pt" principal="cn=ldap,dc=dc,dc=dc,dc=pt" principalcredential="secret" searchscope="subtree"> <FilterTemplate> <![CDATA[ (samaccountname=$requestcontext.principalname) ]]> </FilterTemplate> <LDAPProperty name="java.naming.referral" value="follow"/> <LDAPProperty name="java.naming.ldap.referral.limit" value="0" /> </resolver:dataconnector> FILTRAR ATRIBUTOS - ATTRIBUTE-FILTER.XML attribute-filter.xml <!-- Atributos para o Servico --> <AttributeFilterPolicy> <PolicyRequirementRule xsi:type="basic:attributerequesterstring" value=" /> <AttributeRule attributeid="username"> <PermitValueRule xsi:type="basic:any" /> </AttributeRule> <AttributeRule attributeid="mail"> <PermitValueRule xsi:type="basic:any" /> </AttributeRule> <AttributeRule attributeid="surname"> Fundação para a Computação Científica Nacional 16

19 <PermitValueRule xsi:type="basic:any" /> </AttributeRule> <AttributeRule attributeid="givenname"> <PermitValueRule xsi:type="basic:any" /> </AttributeRule> </AttributeFilterPolicy> <!-- --> Atributos para o servico <AttributeFilterPolicy> <PolicyRequirementRule xsi:type="basic:attributerequesterstring" value=" /> <AttributeRule attributeid="username"> <PermitValueRule xsi:type="basic:any" /> </AttributeRule> <AttributeRule attributeid="mail"> <PermitValueRule xsi:type="basic:any" /> </AttributeRule> <AttributeRule attributeid="surname"> <PermitValueRule xsi:type="basic:any" /> </AttributeRule> <AttributeRule attributeid="givenname"> <PermitValueRule xsi:type="basic:any" /> </AttributeRule> </AttributeFilterPolicy> Fundação para a Computação Científica Nacional 17

20 3.6 PASSO VI - IDP 2.1 CONFIGURAÇÃO GERAL Conf/relying-party.xml O ficheiro relying-party.xml permite configurar o modo como o identity provider processa os pedidos que lhe são efectuados. Por cada service que responde é necessário adicionar um elemento <RelyingParty> <RelyingParty id=" provider="entity ID DO IDP INSTALADO" defaultsigningcredentialref="idpcredential" > <ProfileConfiguration xsi:type="saml:saml2ssoprofile" encryptnameids="never" /> </RelyingParty> <RelyingParty id=" provider="entity ID DO IDP INSTALADO" defaultsigningcredentialref="idpcredential" > <ProfileConfiguration xsi:type="saml:saml2ssoprofile" encryptnameids="conditional" /> </RelyingParty> Configuração de Metadados <!-- ========================================== --> <!-- Metadata Configuration --> <!-- ========================================== --> <!-- MetadataProvider the combining other MetadataProviders --> <MetadataProvider id="shibbolethmetadata" xsi:type="chainingmetadataprovider" xmlns="urn:mace:shibboleth:2.0:metadata"> <MetadataProvider id="urlmd" xsi:type="filebackedhttpmetadataprovider" xmlns="urn:mace:shibboleth:2.0:metadata" metadataurl=" backingfile="/etc/shibboleth/rctsaai/rctsaai_testbedmetadata.xml " /> </MetadataProvider> Fundação para a Computação Científica Nacional 18

21 Configurar o Caminho para os Certificados <!-- ========================================== --> <!-- Security Configurations --> <!-- ========================================== --> <security:credential id="idpcredential" xsi:type="security:x509filesystem"> <security:privatekey>/opt/shibboleth-idp/credentials/idp.key</security:privatekey> <security:certificate>/opt/shibboleth-idp/credentials/idp.crt</security:certificate> </security:credential> 3.7 PASSO VII - LOGGING E DEBUG Existem vários ficheiros de log onde é possível efectuar despistes de algo que não possa estar a ser executado como pretendido: Apache Web Server: error_log e access_log configurados em httpd.conf Mod_JK mod_jk.log configurados em httpd.conf Tomcat catalina.out configurados em server.xml Shibboleth idp-access.log, idp-audit.log e idp-process.log configurados em logging.xml. Fundação para a Computação Científica Nacional 19

22 4 UAPPROVE - INSTALAÇÃO Com o objectivo de informar o utilizador sobre o envio de atributos aos Service Providers da federação quando realizam o primeira acesso ao SP a SWITCH desenvolveu a aplicação uapprove. Em seguida apresentamos os passos necessários para a instalação e configuração desta aplicação, para mais informações sobre este mecanismo consulte o seguinte url: uapprove. 4.1 PASSO I - DOWNLOAD cd /usr/src/ wget unzip uapprove bin.zip 4.2 PASSO II - IDP-PLUGIN Localização da Source do IdP cd /usr/src/shibboleth-identityprovider-2.1.2/src/main/webapp/web-inf mkdir lib mkdir -p /opt/shibboleth-idp/uapprove cd /usr/src/uapprove unzip idp-plugin bin.zip sudo cp idp-plugin-2.1.2/conf-template/* /opt/shibboleth-idp/uapprove sudo cp idp-plugin-2.1.2/lib/* /usr/src/shibboleth-identityprovider /src/main/webapp/WEB-INF/lib/ 4.3 PASSO III - VIEWER mkdir /usr/local/apache-tomcat /webapps/uapprove cd /usr/src/uapprove-2.1.2/ Fundação para a Computação Científica Nacional 20

23 unzip viewer bin.zip (Nota: Overwrite Files? => Yes) sudo cp viewer-2.1.2/conf-template/* /opt/shibboleth-idp/uapprove sudo cp -r viewer-2.1.2/webapp/* /usr/local/apache-tomcat /webapps/uapprove Fundação para a Computação Científica Nacional 21

24 5 UAPPROVE - CONFIGURAÇÃO 5.1 PASSO I - MYSQL Criar a base de dados e utilizador mysql -u root p mysql> CREATE DATABASE uapprove; CREATE USER 'uapprove'@'localhost' IDENTIFIED BY 'uapprove'; GRANT USAGE ON *.* TO 'uapprove'@'localhost'; GRANT SELECT, INSERT, UPDATE, DELETE ON `uapprove`.* TO 'uapprove'@'localhost'; ALTER DATABASE uapprove DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci; Criar as tabelas mysql -u root p mysql> use uapprove; create table ArpUser ( idxarpuser int unsigned auto_increment primary key, auusername varchar(255) not null, aulasttermsversion varchar(255), aufirstaccess timestamp, aulastaccess timestamp ); create index idxusername on ArpUser (auusername ); create table ShibProvider ( idxshibprovider int unsigned auto_increment primary key, spprovidername varchar(255) ); insert into ShibProvider (idxshibprovider) values (1); create index idxprovidername on ShibProvider (spprovidername); create table AttrReleaseApproval ( idxattrreleaseapproval int unsigned auto_increment primary key, araidxarpuser int unsigned references ArpUser ( idxarpuser ), araidxshibprovider int unsigned references ShibProvider( idxshibprovider ), aratimestamp timestamp not null, aratermsversion varchar(255), araattributes text(2048) ); create table ProviderAccess ( idxprovideraccess int unsigned auto_increment primary key, paidxarpuser int unsigned references ArpUser( idxarpuser ), paidxshibprovider int unsigned references ShibProvider( idxshibprovider ), paattributessent text, patermsversion varchar(255), paidxattrreleaseapproval int unsigned references AttrReleaseApproval ( idxattrreleaseapproval ), pashibhandle varchar(255), patimestamp timestamp not null Fundação para a Computação Científica Nacional 22

25 ); Verificar as opções da zona amarela vi /opt/shibboleth-idp/uapprove/common.properties storagetype=database databaseconfig=/opt/shibboleth-idp/uapprove/database.properties #storagetype=file #flatfile=/opt/uapprove-log.xml termsofuse=/opt/shibboleth-idp/uapprove/terms-of-use.xml sharedsecret=!4's-50_$3cr#t, Zn`t_i7? Verificar as opções da zona amarela vi /opt/shibboleth-idp/uapprove/database.properties driver=com.mysql.jdbc.driver url=jdbc:mysql://localhost:3306/uapprove user=uapprove password=uapprove sqlcommands=/opt/shibboleth-idp/uapprove/mysql.commands Fundação para a Computação Científica Nacional 23

26 5.2 PASSO II - IDP PLUGIN Adicionar antes do </web-app> o conteúdo da zona azul vi /usr/src/shibboleth-identityprovider-2.1.2/src/main/webapp/web-inf/web.xml <web-app>... <filter> <filter-name>uapprove IdP plugin</filter-name> <filter-class>ch.switch.aai.uapprove.idpplugin.plugin</filter-class> <init-param> <param-name>config</param-name> <param-value> /opt/shibboleth-idp/uapprove/idp-plugin.properties; /opt/shibboleth-idp/uapprove/common.properties; </param-value> </init-param> </filter> <filter-mapping> <filter-name>uapprove IdP plugin</filter-name> <url-pattern>/profile/*</url-pattern> <dispatcher>request</dispatcher> <dispatcher>forward</dispatcher> </filter-mapping> </web-app> Adicionar antes do </table> o conteúdo da zona azul vi /usr/src/shibboleth-identityprovider-2.1.2/src/main/webapp/login.jsp <form...> <table>... <tr> <td colspan="2"> <input type="checkbox" name="resetuserconsent" value="true" /> Reset my attribute release approvals </td> </tr> </table> </form>... Fundação para a Computação Científica Nacional 24

27 5.3 PASSO III - REDEPLOYMENT OF SHIBBOLETH IDP cd /usr/src/shibboleth-identityprovider-2.1.2/ #./install.sh Buildfile: src/installer/resources/build.xml install:!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Be sure you have read the installation/upgrade instructions on the Shibboleth website before proceeding.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Where should the Shibboleth Identity Provider software be installed? [/opt/shibboleth-idp] The directory '/opt/shibboleth-idp' already exists. Would you like to overwrite this Shibboleth configuration? (yes, [no]) no Copying 48 files to /opt/shibboleth-idp/lib Copying 5 files to /opt/shibboleth-idp/lib/endorsed Copying 1 file to /usr/src/shibboleth-identityprovider-2.1.2/src/installer Building war: /usr/src/shibboleth-identityprovider-2.1.2/src/installer/idp.war Copying 1 file to /opt/shibboleth-idp/war Deleting: /usr/src/shibboleth-identityprovider-2.1.2/src/installer/web.xml Deleting: /usr/src/shibboleth-identityprovider-2.1.2/src/installer/idp.war BUILD SUCCESSFUL Total time: 9 seconds Verificar as opções da zona amarela e alterar de acordo com o IdP instalado a linha rosa (FQDN) vi /opt/shibboleth-idp/uapprove/idp-plugin.properties spblacklist=/opt/shibboleth-idp/uapprove/sp-blacklist logprovideraccess=false monitoringonly=false uapproveviewer= ispassivesupport=false Fundação para a Computação Científica Nacional 25

28 5.4 PASSO IV - VIEWER Verificar as opções da zona amarela e alterar de acordo com o IdP instalado as linhas a rosa vi /usr/local/apache-tomcat /webapps/uapprove/web-inf/web.xml Alterar no element <param-value> as localizações <context-param> <param-name>config</param-name> <param-value> /opt/shibboleth-idp/uapprove/viewer.properties; /opt/shibboleth-idp/uapprove/common.properties; </param-value> </context-param> Fundação para a Computação Científica Nacional 26

29 5.5 PASSO V - ATRIBUTOS E LOCALIZAÇÃO Verificar as opções da zona amarela e alterar os valores de acordo com o que está sublinhado a rosa vi /opt/shibboleth-idp/uapprove/viewer.properties uselocale=pt_pt attributelist=/opt/shibboleth-idp/uapprove/attribute-list globalconsentpossible=true loggingconfig=/opt/shibboleth-idp/uapprove/logging.xml Verificar a lista de atributos existentes na zona amarela vi /opt/shibboleth-idp/uapprove/attribute-list surname givenname swissedupersonuniqueid swissedupersonmatriculationnumber telephonenumber postaladdress uid employeenumber swissedupersondateofbirth swissedupersongender preferredlanguage homephone homepostaladdress mobile swissedupersonhomeorganization swissedupersonhomeorganizationtype edupersonaffiliation swissedupersonstudybranch1 swissedupersonstudybranch2 swissedupersonstudybranch3 swissedupersonstudylevel swissedupersonstaffcategory edupersonorgdn edupersonorgunitdn edupersonentitlement # transientid and persistenid are not shown, cause it makes no sense # # for the end user!edupersontargetedid!persistentid!transientid Fundação para a Computação Científica Nacional 27

30 Verificar as opções da zona amarela e alterar de acordo com o IdP instalado a linha a rosa vi /opt/shibboleth-idp/uapprove/logging.xml <appender class="ch.qos.logback.core.fileappender" name="rootfileappender"> <file>/opt/shibboleth-idp/logs/uapprove.log</file> <append>true</append> <layout class="ch.qos.logback.classic.patternlayout"> <pattern>%d{yyyy-mm-dd HH:mm:ss},%p,%c,%M %m%n</pattern> </layout> </appender> 5.6 PASSO VI - MOD_JK Adicionar a linha JkMount /uapprove/* ajp13 ao virtual host no Apache. vi /etc/httpd/conf.d/ssl.conf <VirtualHost _default_:443> SSLEngine on ServerName idp-lab.fccn.pt SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP SSLOptions +StdEnvVars +ExportCertData SSLCertificateFile /etc/pki/tls/certs/idp-lab.fccn.pt.crt SSLCertificateKeyFile /etc/pki/tls/certs/idp-lab.fccn.pt.key DocumentRoot /var/www/html # # Mod_jk settings â~@~s Shibboleth # <IfModule!mod_jk.c> LoadModule jk_module modules/mod_jk.so </IfModule> JkWorkersFile conf/workers.properties JkLogLevel debug JkMount /jsp-examples/* ajp13 JkMount /idp/* ajp13 JkMount /uapprove/* ajp13 JkLogFile logs/mod_jk.log CustomLog logs/ssl_request_log \ "%t %h %{SSL_PROTOCOL}x %{SSL_CIPHER}x \"%r\" %b" ErrorLog logs/ssl_error_log </VirtualHost> Fundação para a Computação Científica Nacional 28

31 Restart Apache cd /etc/rc.d/init.d/./httpd restart Restart Tomcat cd /usr/local/apache-tomcat /bin/./shutdown.sh./startup.sh Fundação para a Computação Científica Nacional 29