SPConfig

Versión 1 (Emilio Penna, Lunes, 11 de Mayo de 2020 14:51:25 -0300)

1 1
h1. SPConfig
2 1
3 1
4 1
5 1
h3. 4. Generar claves
6 1
7 1
8 1
En sp v3 el archivo shibboleth2.xml viene con configuracion para usar dos certificados distintos (signing y encryption), shib-keygen genera uno solo pero se pueden generar dos o usar el mismo para las dos cosas.
9 1
10 1
Ref: https://tuakiri.ac.nz/confluence/display/Tuakiri/Install+Shibboleth+SP+on+Debian+Based+linux
11 1
12 1
13 1
<pre>
14 1
shib-keygen -f -u _shibd -h <mihost-ejemplo.edu.uy> -y 3 -e https://<mihost-ejemplo.edu.uy>/shibboleth -o /etc/shibboleth/
15 1
</pre>
16 1
17 1
h3. 5. Configuracion de entityID
18 1
19 1
en shibboleth2.xml
20 1
21 1
Setear identificador de la entidad: entityID. Ejemplo:
22 1
23 1
<pre><code class="xml">
24 1
    <ApplicationDefaults entityID="https://<mihost-ejemplo.edu.uy>/shibboleth"
25 1
                       REMOTE_USER="eppn persistent-id targeted-id">
26 1
</code></pre>
27 1
28 1
Ajustes en elemento Sessions:
29 1
30 1
Poner handlerSSL="true", y agregar propiedades seguras para cookies en cookieProps. Ejemplo:
31 1
32 1
<pre><code class="xml">
33 1
      <Sessions lifetime="28800" timeout="3600" relayState="ss:mem"
34 1
             checkAddress="false" handlerSSL="true" cookieProps="; path=/; secure; HttpOnly">
35 1
</code></pre>
36 1
37 1
*CAMBIAR:* cookieProps="https" hace el mismo efecto
38 1
39 1
Luego se debe reiniciar el proceso de Shibboleth (shibd stop/ shibd start).
40 1
41 1
Para verificar la configuración se puede ejecutar el siguiente comando: 
42 1
43 1
<pre>
44 1
shibd -t.
45 1
</pre>
46 1
47 1
La salida esperada es la siguiente:
48 1
49 1
<pre>
50 1
overall configuration is loadable, check console for non-fatal problems
51 1
</pre>
52 1
53 1
54 1
h3. 6. Prueba con TestShib
55 1
56 1
Si desea verificar la configuración del SP se puede probar con el Proveedor de Identidad público de prueba provisto por TestShib:
57 1
58 1
https://www.testshib.org/configure.html
59 1
60 1
Una vez realizada esta prueba puede continuar con la configuración con el Provedor de Identidad de la Universidad.
61 1
62 1
h3. 7. Definir y cargar una fuente de metadata
63 1
64 1
Obtener metadata del IdP, se adjunta al final la metadata del IdP de test de seciu.
65 1
66 1
Guardarla en el directorio metadata de su SP (si no existe crearlo).
67 1
68 1
/etc/shibboleth/metadata/metadata-idp-test-udelar.xml
69 1
70 1
Registrarla en el SP, para esto, en el archivo shibboleth2.xml, ajustar el path en el elemento <MetadataProvider>:
71 1
72 1
<pre> <code class="xml">
73 1
<MetadataProvider type="XML" path="/etc/shibboleth/metadata/metadata-idp-test-udelar.xml" ></MetadataProvider>
74 1
</code> </pre>
75 1
76 1
77 1
h3. 8. Configurar Inicio de Sesión
78 1
79 1
Se debe configurar elemento SSO dentro del archivo shibboleth2.xml para que use el provedor de identidad de test de Seciu: 
80 1
81 1
<pre> <code class="xml">
82 1
<SSO entityID="https://pirapire.seciu.edu.uy/idp/shibboleth"
83 1
</code></pre>
84 1
85 1
h3. 9. Configuración del archivo attribute-map.xml
86 1
87 1
Shibboleth SP extrae los atributos del Assertion SAML que le envia el IdP, y almacena los valores en variables del servidor web. El mapeo entre los atributos recibidos y las variables se define en el archivo attribute-map.xml.
88 1
89 1
Se puede utilizar el que viene por defecto, luego se van descomentando o agregando los atributos que se utilicen.
90 1
Al final se adjunta un ejemplo de archivo attribute-map.xml
91 1
92 1
93 1
h3. 10. Enviar Metadata de su SP para registro
94 1
95 1
Debe obtener la metadata de su SP y contactarse con Seciu para su registro. 
96 1
97 1
La información sobre como obtener y ajustar la metadata puede verla en esta pagina: [[SP-Metadata]]
98 1
99 1
100 1
h3. 11. Configuracion de Apache para proteger un recurso
101 1
102 1
En Apache, se recomienda setear correctamente el ServerName y también setear "UseCanonicalName On".
103 1
También se recomienda fuertemente utilizar el "worker" MPM.
104 1
105 1
Referencia: https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPApacheConfig
106 1
107 1
Al instalar el modulo, se agrega mods-available/shib2.load, donde se carga el módulo.
108 1
109 1
*---- shib.conf ESTO NO ES NECESARIO AGREGARLO, YA  SE AGREGA AL INSTALAR EL MODULO (20190425)*
110 1
El archivo conf-enabled/shib.conf deberia tener estas directivas:
111 1
112 1
<pre> <code class="xml">
113 1
114 1
# Ensures handler will be accessible.
115 1
#
116 1
<Location /Shibboleth.sso>
117 1
  Satisfy Any
118 1
  Allow from all
119 1
</Location>
120 1
121 1
#
122 1
# Used for example style sheet in error templates.
123 1
#
124 1
<IfModule mod_alias.c>
125 1
  <Location /shibboleth-sp>
126 1
    Satisfy Any
127 1
    Allow from all
128 1
  </Location>
129 1
  Alias /shibboleth-sp/main.css /usr/share/shibboleth/main.css
130 1
</IfModule>
131 1
132 1
</code> </pre> 
133 1
134 1
*----FIN shib.conf*
135 1
136 1
137 1
Para agregar un recurso (Location) protegido, agregar en shib.conf o en el virtual host:
138 1
139 1
<pre> <code class="xml">
140 1
141 1
# You MUST enable AuthType shibboleth for the module to process
142 1
# any requests, and there MUST be a require command as well.
143 1
144 1
<Location /secure>
145 1
  AuthType shibboleth
146 1
  ShibRequestSetting requireSession 1
147 1
  require shib-session
148 1
</Location>
149 1
</code> </pre>
150 1
151 1
152 1
Ejemplos de reglas para control de acceso:
153 1
https://www.switch.ch/aai/guides/sp/access-rules/
154 1
155 1
Por último se debe habilitar la configuración con el siguiente comando:
156 1
157 1
<pre>
158 1
a2enconf shib
159 1
</pre>