Proveedor de Identidad

SPInstall

Versión 46 (Emilio Penna, Martes, 18 de Febrero de 2025 14:56:39 -0300) → Versión 47/48 (Emilio Penna, Jueves, 20 de Febrero de 2025 17:06:29 -0300)

---

h1. Instalación Shibboleth SP

Actualizado: 2025-02-18

*Escenario:* En esta guia se describe la instalación de Shibboleth SP sobre Debian 12.
En los pasos siguientes se considera que la instalación se realiza en en el host "spe.seciu.edu.uy", se debe ajustar el nombre al que corresponda.

*Referencias:*

https://shibboleth.atlassian.net/wiki/spaces/SP3/overview
https://help.switch.ch/aai/guides/sp/
https://docs.tuakiri.ac.nz/service_providers/install_shibboleth_sp_on_debian_based_linux

*Requerimientos sobre Apache:*

1. Para integrarse con el proveedor de identidad de la udelar, es obligatorio utilizar HTTPS.
En esta guia se asume que ya se encuentra habilitado mod_ssl en el servidor

2. La documentación oficial de Shibboleth indica que el MPM "prefork" de apache (modulo de multiprocesamiento) genera problemas, por lo tanto se recomienda usar otro, puede ser "worker" MPM o "event" MPM. En la instalación de ejemplo utilizamos event.

https://shibboleth.atlassian.net/wiki/spaces/SP3/pages/2067399657/SystemRequirements

h3. 1. Instalación en Debian 12 usando paquete de Debian:

Partimos de un sistema con apache y mod_ssl

<pre>
sudo apt install libapache2-mod-shib

#chequear status con:
sudo systemctl status shibd.service
</pre>

Generar claves:

<pre>
shib-keygen -n sp-signing -u _shibd -g _shibd -y 20 -h spe.seciu.edu.uy -e https://spe.seciu.edu.uy/shibboleth -o /etc/shibboleth/
shib-keygen -n sp-encrypt -u _shibd -g _shibd -y 20 -h spe.seciu.edu.uy -e https://spe.seciu.edu.uy/shibboleth -o /etc/shibboleth/
</pre>

h3. 2. Verificación de estado

*Directorios y archivos importantes:*

* /etc/shibboleth Directorio de configuración. El archivo principal es shibboleth2.xml.
* /var/log/shibboleth/shibd.log


Luego se debe continuar con la configuración: [[SPConfig|Configuración Shibboleth SP]]



Comando util para chequear que la configuración de apache es válida (ejecutar luego de cambiar configuraciones de apache)

<pre>
apache2ctl configtest
</pre>
La salida deberia ser: Syntax OK