SPConfig
Versión 7 (Emilio Penna, Lunes, 11 de Mayo de 2020 16:32:39 -0300)
1 | 1 | h1. SPConfig |
|
---|---|---|---|
2 | 1 | ||
3 | 1 | ||
4 | 1 | ||
5 | 2 | Emilio Penna | h3. 1. Generar claves |
6 | 1 | ||
7 | 4 | Emilio Penna | Se deben generar claves para firma y cifrado. |
8 | 1 | ||
9 | 4 | Emilio Penna | <pre> |
10 | 4 | Emilio Penna | shib-keygen -n sp-signing -f -u _shibd -h <mihost-ejemplo.edu.uy> -y 20 -e https://<mihost-ejemplo.edu.uy>/shibboleth -o /etc/shibboleth/ |
11 | 1 | ||
12 | 4 | Emilio Penna | shib-keygen -n sp-encrypt -f -u _shibd -h <mihost-ejemplo.edu.uy> -y 20 -e https://<mihost-ejemplo.edu.uy>/shibboleth -o /etc/shibboleth/ |
13 | 4 | Emilio Penna | </pre> |
14 | 4 | Emilio Penna | |
15 | 4 | Emilio Penna | Nota para version anterior de shibboleth SP: en la version anterior se usaba una sola clave para las dos cosas. |
16 | 1 | Ref: https://tuakiri.ac.nz/confluence/display/Tuakiri/Install+Shibboleth+SP+on+Debian+Based+linux |
|
17 | 1 | ||
18 | 1 | ||
19 | 2 | Emilio Penna | h3. 2. Configuracion de entityID |
20 | 1 | ||
21 | 1 | en shibboleth2.xml |
|
22 | 1 | ||
23 | 1 | Setear identificador de la entidad: entityID. Ejemplo: |
|
24 | 1 | ||
25 | 1 | <pre><code class="xml"> |
|
26 | 1 | <ApplicationDefaults entityID="https://<mihost-ejemplo.edu.uy>/shibboleth" |
|
27 | 1 | REMOTE_USER="eppn persistent-id targeted-id"> |
|
28 | 1 | </code></pre> |
|
29 | 1 | ||
30 | 1 | Ajustes en elemento Sessions: |
|
31 | 1 | ||
32 | 1 | Poner handlerSSL="true", y agregar propiedades seguras para cookies en cookieProps. Ejemplo: |
|
33 | 1 | ||
34 | 1 | <pre><code class="xml"> |
|
35 | 1 | <Sessions lifetime="28800" timeout="3600" relayState="ss:mem" |
|
36 | 1 | checkAddress="false" handlerSSL="true" cookieProps="; path=/; secure; HttpOnly"> |
|
37 | 1 | </code></pre> |
|
38 | 1 | ||
39 | 1 | *CAMBIAR:* cookieProps="https" hace el mismo efecto |
|
40 | 1 | ||
41 | 5 | Emilio Penna | Luego se debe reiniciar el proceso de Shibboleth (service shibd stop/service shibd start). |
42 | 1 | ||
43 | 1 | Para verificar la configuración se puede ejecutar el siguiente comando: |
|
44 | 1 | ||
45 | 1 | <pre> |
|
46 | 1 | shibd -t. |
|
47 | 1 | </pre> |
|
48 | 1 | ||
49 | 1 | La salida esperada es la siguiente: |
|
50 | 1 | ||
51 | 1 | <pre> |
|
52 | 1 | overall configuration is loadable, check console for non-fatal problems |
|
53 | 1 | </pre> |
|
54 | 5 | Emilio Penna | Es posible que de un warning porque todavia no hay ninguna metadata de IdP configuradas (no MetadataProvider). |
55 | 1 | ||
56 | 1 | ||
57 | 2 | Emilio Penna | h3. 3. Prueba con TestShib |
58 | 1 | ||
59 | 1 | Si desea verificar la configuración del SP se puede probar con el Proveedor de Identidad público de prueba provisto por TestShib: |
|
60 | 1 | ||
61 | 1 | https://www.testshib.org/configure.html |
|
62 | 1 | ||
63 | 1 | Una vez realizada esta prueba puede continuar con la configuración con el Provedor de Identidad de la Universidad. |
|
64 | 1 | ||
65 | 3 | Emilio Penna | h3. 4. Definir y cargar una fuente de metadata |
66 | 1 | ||
67 | 1 | Obtener metadata del IdP, se adjunta al final la metadata del IdP de test de seciu. |
|
68 | 1 | ||
69 | 1 | Guardarla en el directorio metadata de su SP (si no existe crearlo). |
|
70 | 1 | ||
71 | 1 | /etc/shibboleth/metadata/metadata-idp-test-udelar.xml |
|
72 | 1 | ||
73 | 1 | Registrarla en el SP, para esto, en el archivo shibboleth2.xml, ajustar el path en el elemento <MetadataProvider>: |
|
74 | 1 | ||
75 | 1 | <pre> <code class="xml"> |
|
76 | 1 | <MetadataProvider type="XML" path="/etc/shibboleth/metadata/metadata-idp-test-udelar.xml" ></MetadataProvider> |
|
77 | 1 | </code> </pre> |
|
78 | 1 | ||
79 | 1 | ||
80 | 3 | Emilio Penna | h3. 5. Configurar Inicio de Sesión |
81 | 1 | ||
82 | 1 | Se debe configurar elemento SSO dentro del archivo shibboleth2.xml para que use el provedor de identidad de test de Seciu: |
|
83 | 1 | ||
84 | 1 | <pre> <code class="xml"> |
|
85 | 1 | <SSO entityID="https://pirapire.seciu.edu.uy/idp/shibboleth" |
|
86 | 1 | </code></pre> |
|
87 | 1 | ||
88 | 3 | Emilio Penna | h3. 6. Configuración del archivo attribute-map.xml |
89 | 1 | ||
90 | 1 | Shibboleth SP extrae los atributos del Assertion SAML que le envia el IdP, y almacena los valores en variables del servidor web. El mapeo entre los atributos recibidos y las variables se define en el archivo attribute-map.xml. |
|
91 | 1 | ||
92 | 1 | Se puede utilizar el que viene por defecto, luego se van descomentando o agregando los atributos que se utilicen. |
|
93 | 1 | Al final se adjunta un ejemplo de archivo attribute-map.xml |
|
94 | 1 | ||
95 | 1 | ||
96 | 3 | Emilio Penna | h3. 7. Enviar Metadata de su SP para registro |
97 | 1 | ||
98 | 1 | Debe obtener la metadata de su SP y contactarse con Seciu para su registro. |
|
99 | 1 | ||
100 | 1 | La información sobre como obtener y ajustar la metadata puede verla en esta pagina: [[SP-Metadata]] |
|
101 | 1 | ||
102 | 1 | ||
103 | 3 | Emilio Penna | h3. 8. Configuracion de Apache para proteger un recurso |
104 | 1 | ||
105 | 1 | En Apache, se recomienda setear correctamente el ServerName y también setear "UseCanonicalName On". |
|
106 | 6 | Emilio Penna | También se recomienda utilizar el "worker" MPM. |
107 | 1 | ||
108 | 1 | Referencia: https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPApacheConfig |
|
109 | 1 | ||
110 | 1 | Al instalar el modulo, se agrega mods-available/shib2.load, donde se carga el módulo. |
|
111 | 1 | ||
112 | 1 | ||
113 | 1 | Para agregar un recurso (Location) protegido, agregar en shib.conf o en el virtual host: |
|
114 | 1 | ||
115 | 1 | <pre> <code class="xml"> |
|
116 | 1 | ||
117 | 1 | # You MUST enable AuthType shibboleth for the module to process |
|
118 | 1 | # any requests, and there MUST be a require command as well. |
|
119 | 1 | ||
120 | 1 | <Location /secure> |
|
121 | 1 | AuthType shibboleth |
|
122 | 1 | ShibRequestSetting requireSession 1 |
|
123 | 1 | require shib-session |
|
124 | 1 | </Location> |
|
125 | 1 | </code> </pre> |
|
126 | 1 | ||
127 | 7 | Emilio Penna | Se pueden definir reglas mas complejas para control de acceso, incluso utilizando los aributos emitidos por el IdP. |
128 | 1 | Ejemplos de reglas para control de acceso: |
|
129 | 1 | https://www.switch.ch/aai/guides/sp/access-rules/ |