# openssl genrsa 2048 -config /opt/treinamento/openssl.cnf > spkey.key

Roteiro de atividades Gerência de Provedores de Serviços Sessão de Aprendizagem 6: Configuração do Shibboleth Service Provider 2.2 no Linux Tópicos e conceitos Competências técnicas desenvolvidas Tempo previsto para as atividades Pré-requisitos o Configuração do Shibboleth SP (Daemon) Certificados shibboleth2.xml attribute-map.xml attribute-policy.xml Diretivas de log Scripts de inicialização o Configuração do Apache HTTPD Certificados Virtual Hosts Configuração do Shibboleth SP 2.2 no linux 40-60 minutos O aluno já deverá ter executado a atividade 1 da sessão : Instalação do Shibboleth SP Arquivo openssl.cnf disponível na máquina do aluno Arquivo Idp-metadata.xml disponível na máquina virtual onde o aluno instalou o IdP Atividade 1 Gerar certificados auto-assinados com parâmetros pré-configurados Dois certificados deverão ser gerados, um para SSL com browser, outro para SSL com IdP e assinatura de mensagens. Para gerar os certificados iremos utilizar o arquivo openssl.cnf disponível no diretório /opt/treinamento. Este arquivo contém alguns parâmetros pré- configurados como a restrição básica CA acertada como false. Para gerar os certificados siga os passos abaixo: 1) Logue-se com o usuário root: # sudo su 2) Gerar a chave usando arquivo de configuração disponibilizado openssl.cnf : Mudar para o diretório de instalação do shibboleth-sp com o seguinte comando: # cd /etc/shibboleth

# openssl genrsa 2048 -config /opt/treinamento/openssl.cnf > spkey.key Gerar o primeiro certificado auto-assinado: # openssl req -new -x509 -nodes -days 1095 -sha1 -key sp-key.key - set_serial 00 -config /opt/treinamento/openssl.cnf > sp-cert.crt Os seguintes dados deverão ser informados: Nome do país (código de 2 letras) Unidade da Federação (por extenso) Nome do município (por extenso) Nome da universidade/instituicao Departamento da universidade/instituicao Endereço de email da administração Nome completo do host (incluindo o domínio) Esse é o CN (Common Name que deverá se informado com o IP ou nome da máquina) Gerar o segundo certificado auto-assinado: # openssl req -new -x509 -nodes -days 1095 -sha1 -key sp-key.key - set_serial 00 -config /opt/treinamento/openssl.cnf > sp2-cert.crt Atividade 2 Configurar arquivo shibboleth2.xml O arquivo shibboleth2.xml é um dos principais arquivos de configuração do shibboleth e define a maioria das configurações necessárias além de apontar para outros arquivos que serão configurados mais a frente. Iremos alterar apenas as configurações básicas para um primeiro contato com o Shibboleth. 1. Abrir arquivo shibboleth2.xml: #vim /etc/shibboleth/shibboleth2.xml 2. Alterar o EntityID do SP na tag applicationdefaults: <ApplicationDefaults id="default" policyid="default" entityid=https://<host>/sp/shibboleth REMOTE_USER="eppn persistent-id targeted-id" signing="false" encryption="false"> 3. Alterar a propriedade entityid da tag SessionInitiator de Location= /Login com o valor do entityid do IdP para o qual será redirecionado ao acessar uma aplicação protegida pelo Shibboleth: Substituia IP_VM pelo IP da VM em que você instalou o Shibboleth IdP. 2

<SessionInitiator type="chaining" Location="/Login" isdefault="true" id="intranet" relaystate="cookie" entityid="https://ip_vm /idp/shibboleth"> <SessionInitiator type="saml2" defaultacsindex="1" template="bindingtemplate.html" /> <SessionInitiator type="shib1" defaultacsindex="5" /> </SessionInitiator> 4. Descomentar a tag MetadataProvider que indica o nome do arquivo de metadata do idp mantido localmente e alterar o nome do arquivo.  <MetadataProvider type="xml" file="idp-metadata.xml" /> Copie o arquivo de metadadas do idp que se encontra na pasta /opt/shibbolethidp/metadata/idp-metadata.xml na VM em que o Idp foi instalado para o diretório /etc/shibboleth/ Acesse o arquivo /opt/shibboleth-idp/conf/relying-party.xml e altere o endereço em vermelho trocando para o IP da sua VM em que o SP foi instalado: <MetadataProvider id="urlmd" xsi:type="filebackedhttpmetadataprovider" metadataurl="http://idp.shib.curso/shibboleth.sso/metadata" backingfile="/opt/shibboleth-idp/metadata/some-metadata.xml">... 5. Configurar o uso do certificado gerado alterando as propriedades key e certificate na seguinte linha do arquivo :  <CredentialResolver type="file" key="sp-key.key" certificate="sp-cert.crt"/> Atividade 3 Configurar arquivo attribute-map.xml Este arquivo é responsável pela configuração da extração e mapeamento de atributos das asserções SAML para as variáveis de ambiente ou cabeçalhos http. 1. Abrir o arquivo: # vim /etc/shibboleth/attribute-map.xml 2. Descomentar os atributos de LDAP e modificar o id dos seguintes atributos : Apenas o que está de vermelho foi alterado:  <Attribute name="urn:mace:dir:attribute-def:cn" id="shib-person-cn"/> <Attribute name="urn:mace:dir:attribute-def:sn" id="shib-person-sn"/> <Attribute name="urn:mace:dir:attribute-def:mail" id="shib-inetorgperson-mail"/> <Attribute name="urn:mace:dir:attribute-def:telephonenumber" id="telephonenumber"/> <Attribute name="urn:oid:2.5.4.3" id="shib-person-cn"/> 3

<Attribute name="urn:oid:2.5.4.4" id="shib-person-sn"/> <Attribute name="urn:oid:0.9.2342.19200300.100.1.3" id="shib-inetorgperson-mail"/> <Attribute name="urn:oid:2.5.4.20" id="telephonenumber"/> 3. Adicionar os seguintes atributos:  <Attribute name="urn:mace:dir:attribute-def:schaccountryofcitizenship" id="shib-country"/>  <Attribute name="urn:mace:dir:attribute-def:brpersoncpf" id="shib-brperson-brcpf" /> <Attribute name="urn:mace:dir:attribute-def:brpersonpassport" id="shib-brperson-brpassport"/> <Attribute name="urn:mace:dir:attribute-def:edupersonprincipalname" id="shib-edupersonedupersonprincipalname"/> <Attribute name="urn:mace:dir:attribute-def:schacdateofbirth" id="shibschacpersonalcharacteristics-schacdateofbirth" /> <Attribute name="urn:oid:0.9.2342.19200300.100.1.1" id="shib-inetorgperson-uid"/> OBS: Não se esqueça de salvar o arquivo. Atividade 4 Configuração do Apache HTTPD 1 Baixe o arquivo /etc/apache2/sites-available/ com o comando abaixo, depois substitua a variável $HOSTNAME pelo IP da sua VM. wget https://svn.rnp.br/repos/cafe/ubuntu/lucid/shibboleth-sp/default -O /etc/apache2/sitesavailable/default --no-check-certificate Conteúdo do arquivo: NameVirtualHost * <VirtualHost *> ServerName ServerSignature Off $HOSTNAME # Redirecionamento para SSL RewriteEngine on RewriteCond %{HTTPS}!=on RewriteRule ^(.*) https://%{server_name}/$1 [R,L] DocumentRoot /var/www/ <Directory /var/www/> Options Indexes FollowSymLinks MultiViews AllowOverride None Order allow,deny allow from all </Directory> ErrorLog /var/log/apache2/error.log # Possible values include: debug, info, notice, warn, error, crit, # alert, emerg. LogLevel info 4

</VirtualHost> CustomLog /var/log/apache2/sp-access-80.log combined 2 Baixe o arquivo /etc/apache2/sites-available/shibboleth-sp2. Substitua $HOSTNAME pelo IP da sua VM e substitua o nome do certificado e chave. wget https://svn.rnp.br/repos/cafe/ubuntu/lucid/shibboleth-sp/shibboleth-sp2 -O /etc/apache2/sites-available/shibboleth-sp2 --no-check-certificate Conteúdo do arquivo: <VirtualHost $HOSTNAME:443> ServerName ServerSignature Off $HOSTNAME SSLEngine SSLCertificateFile SSLCertificateKeyFile on /etc/shibboleth/sp2-cert.crt /etc/shibboleth/sp-key.key #ShibURLScheme https DocumentRoot /var/www/ <Directory /var/www/> Options -Indexes -FollowSymLinks -MultiViews AllowOverride None Order deny,allow Allow from all </Directory> <Location /secure> AuthType shibboleth ShibRequireSession On require valid-user Order allow,deny allow from all </Location> # <Location /moodle/auth/shibboleth> # AuthType shibboleth # ShibRequireSession On # require valid-user # </Location> ErrorLog /var/log/apache2/error.log # Possible values include: debug, info, notice, warn, error, crit, # alert, emerg. LogLevel info CustomLog /var/log/apache2/sp-access-443.log combined </VirtualHost> 5

6. Ative o módulo Rewrite, Shibboleth e SSL no Apache através das seguintes linhas de comando: a2enmod shib2 a2enmod ssl a2enmod rewrite a2ensite shibboleth-sp2 Atividade 5 Testar a configuração: Instalar o homologa para testes: mkdir /var/www/secure wget https://svn.rnp.br/repos/cafe/ubuntu/lucid/shibboleth-sp/index.php -O /var/www/secure/index.php --no-check-certificate Iniciar Apache: Reiniciar o apache: # /etc/init.d/apache2 restart # date Verificar se o horário e data da máquina estão corretos Acessar o endereço: http://<maquina>/secure Aparecerá tela de confirmação de certificado, logo após a tela de login do IDP. Logar com user:00123456 e senha: 1234 Após logar será redirecionado pro SP, para a página secure que é o aplicativo homologa. Depois acessar com o mesmo browser (sem fechar para não terminar a sessão) o endereço: http://<maquina> /Shibboleth.sso/Session Serão exibidas as informações da sessão criada além do nome dos atributos que foram liberados, Observar se a página exibida assemelha-se ao trecho: Miscellaneous Client Address: 192.168.139.1 Identity Provider: https://idp.shib.curso/idp/shibboleth SSO Protocol: urn:oasis:names:tc:saml:2.0:protocol Authentication Time: 2009-09-16T13:35:36.509Z Authentication Context Class: (none) Authentication Context Decl: urn:oasis:names:tc:saml:2.0:ac:classes:unspecified Session Expiration (barring inactivity): 479 minute(s) 6

Attributes Shib-Person-cn: 1 value(s) Shib-Person-sn: 1 value(s) Shib-brPerson-brcpf: 1 value(s) Shib-eduPerson-eduPersonPrincipalName: 1 value(s) Shib-brPerson-brpassport: 1 value(s) Shib-inetOrgPerson-mail: 1 value(s) Shib-inetOrgPerson-uid: 1 value(s) Shib-schacPersonalCharacteristics-schacDateOfBirth: 1 value(s) telephonenumber: 1 value(s) Atividade 6 Alterar os níveis de log do shibboleth SP 2.2. 1. Alterar os níveis de log do shibboleth SP 2.2: Arquivos de Log : /var/log/shibboleth => shibd.log e transaction.log /var/log/apache2 => arquivos acess.log e error.log Edite o arquivo shibd.logger: Localizado no seguinte diretório: /etc/shibboleth/ Descomente a linha: log4j.rootcategory=debug, shibd_log Outras linhas podem ser descomentadas para mudar o nível pra DEBUG. Verificar nos arquivos de log as informações em nível de debug. /opt/shibboleth-sp-2.2/var/log/shibboleth => shibd.log 7