Shibboleth Identity Provider 2.0 unter SLES10

Installation und Basiskonfiguration des Shibboleth Identity Providers 2.0 unter SuSE Linux Enterprise Server 10 (SLES10SP1)

Version dieses Dokuments: 0.2 (letzte Änderung: 28.04.2008)
Wolfgang Hommel, Leibniz-Rechenzentrum
Kontakt-E-Mail-Adresse: hommel [at] lrz [punkt] de

Dieses Dokument beschreibt die Installation und die grundlegende Konfiguration eines Shibboleth Identity Providers (Version 2.0.0) unter SuSE Linux Enterprise Server 10 (SLES10 mit Service Pack 1). Das beschriebene Vorgehen orientiert sich stark an der Installationsanleitung im Internet2 Shibboleth-Wiki und weist primär auf Besonderheiten beim Betrieb unter SLES10SP1 hin. Darüber hinaus werden folgende Aspekte berücksichtigt:

Verwendung von DFN-PKI Zertifikaten statt selbstsignierter Zertifikate.
Test der Installation im Zusammenspiel mit der TestShib2-Föderation sowie Vorbereitung zur Teilnahme an der DFN-AAI.
Apache2 als Schnittstelle zum Benutzer (kein Tomcat-only-Deployment wie im Internet2-Wiki).
Optionaler Parallelbetrieb mehrerer Shibboleth Identity Provider auf einer Maschine (mittels Apache2/Tomcat5 Virtual Hosts).
Benutzerauthentifizierung über LDAP (mittels JAAS wie von Shibboleth vorgesehen).
Grundlegende Konfiguration der Attributsermittlung über LDAP und der Attributsfreigabe-Regeln.

Hinweise auf Fehler, Unklarheiten und fehlende Zwischenschritte, die zur Verbesserung dieser Anleitung beitragen, werden sehr gerne entgegen genommen!

Inhalt:

Installationsanleitung IDP 2.0
Weitere Anmerkungen zum Betrieb mehrerer IDP-Instanzen auf einer Maschine
Installationsanleitung ARPViewer 2.0

Eine komplementäre Anleitung zur Installation des Shibboleth Service Providers 2.0 findet sich hier.

Installationsanleitung IDP 2.0

Die Reihenfolge der nachfolgenden Schritte muss nicht immer streng eingehalten werden; sie stellt jedoch sicher, dass die Funktionalität der bis dahin installierten und konfigurierten Komponenten immer sofort überprüft werden kann.

Schritt 0: Vorbereitungen

Im Folgenden wird davon ausgegangen, dass eine dedizierte (ggf. virtuelle) Maschine für den Betrieb des Shibboleth Identity Providers zur Verfügung steht, so dass von einer SLES10SP1-Standardkonfiguration ausgegangen werden kann. Als DNS-Name wird idp.example.com verwendet; zur Teilnahme an einer (organisationsübergreifenden) Föderation muss die Maschine eine im Internet geroutete IP-Adresse haben. Führen Sie zur Vorbereitung folgende Schritte durch:

Besorgen Sie sich ein Server-Zertifikat für die Maschine:

Wenn Sie planen, an der deutschen Föderation DFN-AAI teilzunehmen, orientieren Sie sich bitte an der DFN-PKI und berücksichtigen Sie ggf. lokale Vereinbarungen zwischen dem DFN-Verein und Ihrer Einrichtung, z.B. bzgl. der zu verwendenden Zertifizierungsstelle.
Beim Beantragen eines DFN-PKI Zertifikats unbedingt das Zertifikatsprofil "Shibboleth IDP/SP" wählen; ein herkömmliches Web-Server-Zertifikat reicht nicht aus!
Wenn Sie planen, mehrere Shibboleth Identity Provider auf derselben Maschine zu betreiben, und diese über unterschiedliche DNS-Einträge zugänglich sein sollen, teilen Sie Ihrer Zertifizierungsstelle bitte die entsprechenden "Server Alternative Names" mit, so dass diese ebenfalls ins Zertifikat aufgenommen werden.

Installieren Sie mittels Yast die folgenden Pakete aus der SLES10SP1-Grundausstattung bzw. dem SLE SDK 10.1:

ant
apache2, apache2-devel, apache2-prefork
tomcat5
java-1_5_0-ibm, java-1_5_0-ibm-devel (siehe Anmerkungen unten)

Laden Sie sich den Quelltext und die Binärdistribution des Shibboleth IDP 2.0 herunter und entpacken Sie beide ZIP-Dateien in einem Verzeichnis Ihrer Wahl (im Folgenden: /srv/_installation). Diese Anleitung verwendet prinzipiell die Quelltextversion, in deren ZIP-Datei in Version 2.0.0 jedoch einige Dateien fehlen, die nur in der Binärdistribution enthalten sind.
Sofern Sie die SuSE Firewall verwenden, stellen Sie sicher, dass eingehende Verbindungen auf den Ports 443 und 8443 erlaubt sind.

Schritt 1: Java-Installation und -Konfiguration

Die Shibboleth-Entwickler empfehlen den Einsatz der Java-Umgebung von Sun (Sun JDK 1.5 oder neuer), die von Novell/SuSE jedoch nicht für SLES10SP1 bereitgestellt wird:

Laden Sie sich die aktuelle Version des Sun JDK (Java 2 SE 6.0) vom Hersteller als RPM-Datei herunter und installieren Sie diese:
rpm -Uvh *.rpm

Editieren Sie die Datei /etc/java/java.conf und passen Sie die Pfadangaben an das neu installierte JDK an:

# System-wide Java configuration file                                -*- sh -*-
#
# JPackage Project <http://www.jpackage.org/>
# Location of jar files on the system
JAVA_LIBDIR=/usr/share/java
# Location of arch-specific jar files on the system
JNI_LIBDIR=/usr/lib64/java
# Location of 32 bit arch-specific jar files on the system
JNI_LIBDIR32=/usr/lib/java
# Root of all native JVM installations
JVM_ROOT=/usr/java
# Root of all 32 bit JVM installations
JVM_ROOT32=/usr/java
# You can define a system-wide JVM root here if you're not using the default one
JAVA_HOME=/usr/java/jdk1.6.0_05
# Options to pass to the java interpreter
JAVACMD_OPTS=

Ersetzen Sie im Verzeichnis /etc/alternatives alle Links, die auf Dateien aus dem IBM JDK verweisen, durch Links auf die entsprechenden Dateien aus dem Sun JDK.

Die folgenden Konfigurationsschritte sind Shibboleth-spezifisch und somit auch durchzuführen, wenn ein geeignetes JDK bereits eingerichtet war:

Kopieren Sie die Datei identityprovider/lib/shib-jce-1.0.jar aus der Quelltextdistribution des Shibboleth IDP ins Verzeichnis $JAVA_HOME/jre/lib/ext
Editieren Sie die Datei $JAVA_HOME/jre/lib/security/java.security und fügen Sie ihr den folgenden Eintrag hinzu:
security.provider.9=edu.internet2.middleware.shibboleth.DelegateToApplicationProvider

Schritt 2: Apache2-Konfiguration

Der Apache2-Webserver dient als Schnittstelle zu den Benutzern auf Port 443. Prinzipiell kann auf Apache2 verzichtet werden, so dass auch Endnutzer direkt auf Tomcat (Port 8443) zugreifen (sog. Tomcat-only-Deployment). In Version 2.0.0 des Shibboleth IDP treten dabei jedoch bekannte Probleme auf, wenn ein Benutzer über seinen Browser ein Client-Zertifikat mitschickt. Mindestens bis dieser Fehler behoben ist empfiehlt sich der ergänzende Einsatz von Apache2.

Folgen Sie den Anweisungen in /usr/share/doc/packages/apache2/README.QUICKSTART.SSL, um den Web-Server SSL-fähig zu machen.
Verwenden Sie dabei nach Möglichkeit bereits Ihr Zertifikat aus der DFN-PKI. Laden Sie sich hierzu auch die DFN-PKI CA Chain herunter, die spezifisch für die von Ihnen verwendete Zertifizierungsstelle ist (siehe auch hier).
Editieren Sie die Datei /etc/sysconfig/apache2 und fügen Sie proxy und proxy_ajp als zu verwendende APACHE_MODULE hinzu.
(Optional) Wenn auf der Maschine mehrere IDP-Instanzen parallel betrieben werden sollen, gehen Sie wie folgt vor:

Ergänzen Sie in der Datei listen.conf den Eintrag NameVirtualHost 123.123.123.123:443, wobei die richtige IP-Adresse Ihrer Maschine zu verwenden ist.
Im Verzeichnis /etc/apache2/vhosts.d sollte pro Instanz eine eigene Konfigurationsdatei angelegt werden.

Ergänzen Sie in der vhost-Definition einen ProxyPass-Eintrag für das Verzeichnis /idp/ wie in nachfolgendem Beispiel ersichtlich.

Eine Datei in /etc/apache2/vhosts.d hat danach unter Beibehaltung der SuSE-spezifischen Voreinstellungen typischerweise folgenden Inhalt:

<VirtualHost 123.123.123.123:443>
        DocumentRoot "/srv/www/htdocs/idp"
        ServerName idp.example.com:443
        ErrorLog /var/log/apache2/idp.error_log
        TransferLog /var/log/apache2/idp.access_log
        SSLEngine on
        SSLCipherSuite ALL:!ADH:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP:+eNULL
        SSLCertificateFile /etc/apache2/cert.dfn/certificate
        SSLCertificateKeyFile /etc/apache2/cert.dfn/private_key
        SSLCertificateChainFile /etc/apache2/cert.dfn/chain
        <Files ~ "\.(cgi|shtml|phtml|php3?)$">
            SSLOptions +StdEnvVars
        </Files>
        <Directory "/srv/www/cgi-bin">
            SSLOptions +StdEnvVars
        </Directory>
        SetEnvIf User-Agent ".*MSIE.*" \
                 nokeepalive ssl-unclean-shutdown \
                 downgrade-1.0 force-response-1.0
        CustomLog /var/log/apache2/idp.ssl_request_log   ssl_combined
        ProxyPass /idp/ ajp://idp.example.com:8009/idp/
</VirtualHost>

Die erzeugte Konfiguration sollte auf syntaktische Fehler und grundlegende Funktionalität überprüft werden:

SuSEconfig
rcapache2 restart
Per Browser alle eingetragenen virtuellen Hosts ausprobieren.
Falls alles zur Zufriedenheit funktioniert: Apache2 beim Booten automatisch starten lassen (chkconfig -a apache2).

Schritt 3: Tomcat5-Konfiguration

Beim Editieren der Tomcat5-Konfigurationsdateien ist generell darauf zu achten, dass dieselben Pfade zur Shibboleth-IDP-Installation wie im nächsten Schritt verwendet werden (im Beispiel: /srv/idp). Es sind folgende Teilschritte notwendig:

Wechseln Sie ins Verzeichnis /usr/share/tomcat5/common/endorsed und löschen Sie alle darin enthaltenen Dateien und Links (Shibboleth liefert eigene Versionen dieser Funktionsbibliotheken mit, die sich mit den bereits vorhandenen nicht vertragen würden). Kopieren Sie dann die Dateien aus dem Verzeichnis identityprovider/endorsed der Binärdistribution in dieses Verzeichnis (Anmerkung: Ebendiese Dateien fehlen in der Quelltextdistribution der IDP-Version 2.0.0 und sind nur in der Binärdistribution enthalten).
Editieren Sie die Datei /usr/share/tomcat5/bin/catalina.sh und fügen Sie als zweite Zeile ein:
JAVA_OPTS="$JAVA_OPTS -Xmx1024m -XX:MaxPermSize=512m"
Fügen Sie ferner als Zeile 206 ein:
JAVA_ENDORSED_DIRS=/usr/share/tomcat5/common/endorsed

Editieren Sie die Datei /etc/tomcat5/base/server.xml und fügen Sie folgenden Eintrag nach dem letzten schon vorhandenen <Connector>-Eintrag hinzu; Key- und Truststore werden im nächsten Schritt erläutert.

<!-- Added for Shibboleth Identity Provider 2.0 -->
    <Connector port="8443"
           maxHttpHeaderSize="8192"
          maxSpareThreads="75"
          scheme="https"
           secure="true"
           clientAuth="want"
           sslProtocol="TLS"
           keystoreFile="/srv/idp/credentials/idp.jks"
           keystorePass="changeit"
           keyAlias="idp.example.com"
           truststoreFile="/srv/idp/credentials/idp.jks"
           truststorePass="changeit"
           truststoreAlgorithm="DelegateToApplication"/>

(Optional) Zum parallelen Betrieb mehrerer IDP-Instanzen mit verschiedenen DNS-Namenseinträgen ergänzen Sie entsprechend viele Tomcat5-Host-Definitionen in server.xml analog folgendem Beispiel:

<Host name="idp2.example.com" debug="0" appBase="webapps/idp2"
      unpackWARs="true" autoDeploy="true" xmlValidation="false" xmlNamespaceAware="false">
      <Logger className="org.apache.catalina.logger.FileLogger"
              directory="logs" prefix="idp2_log" suffix=".txt" timestamp="false"/>
</Host>

Schritt 4: Deployment des Shibboleth Identity Providers

Wechseln Sie in das Verzeichnis, in das Sie die Quelldistribution entpackt haben, machen Sie die Datei ant.sh ausführbar, und führen Sie sie aus:

cd /srv/_installation/identityprovider
chmod +x ant.sh
./ant.sh

Sie werden u.a. nach einem Installationspfad (hier: /srv/idp), dem Hostnamen (hier: idp.example.com) und einem Passwort für den Java Keystore (hier: changeit) gefragt. Diese Angaben sollten identisch zu den im vorhergehenden Schritt bei der Tomcat-Konfiguration verwendeten sein.

(Optional) Zum parallelen Betrieb mehrerer IDP-Instanzen ist dieser Prozess entsprechend oft mit unterschiedlichen Pfaden und Hostnamen zu wiederholen. Dabei empfiehlt sich, pro Instanz auch ein eigenes Installationsverzeichnis zu verwenden, da die Einstellungen dort abgespeichert werden, so dass nach Veränderungen, z.B. bzgl. des Corporate Design der IDP-Webseiten, ein einfaches Re-Deployment ermöglicht wird.

Das ausgeführte Shibboleth-Installationsskript legt das Verzeichnis /srv/idp an und hinterlegt in /srv/idp/war die Datei idp.war, die von Tomcat verwendet werden soll:

cp /srv/idp/war/idp.war /srv/www/tomcat5/base/webapps

(Optional) Beim parallelen Betrieb mehrerer IDP-Instanzen kopieren Sie die Datei in das jeweilige appBase-Verzeichnis (vgl. Schritt 3).

Sofern die Installation bislang als Benutzer root durchgeführt wurde, ist sicherzustellen, dass der Benutzer tomcat Schreibberechtigung auf das Shibboleth-Logfile-Verzeichnis bekommt:

chown tomcat:tomcat /srv/idp/logs

Mittels rctomcat5 restart sollte Tomcat nun gestartet werden. Überprüfen Sie die Protokolldateien im Verzeichnis /var/log/tomcat5/base auf eventuell vorhandene Fehlermeldungen: Der Start muss fehlerfrei, d.h. ohne Auftreten von Java-Exceptions ablaufen. Gehen Sie allen Fehlermeldungen nach und beseitigen Sie deren Ursachen; häufige Probleme umfassen:

Die von SuSE mitgelieferten Dateien und Links in /usr/share/tomcat5/common/endorsed wurden nicht gelöscht oder es wurden die entsprechenden Dateien aus der Shibboleth-Binärdistribution nicht hineinkopiert.
Im Verzeichnis /usr/share/java finden sich Links auf .jar-Dateien, die von einem anderem JDK als dem aktuell verwendeten stammen. Ersetzen Sie diese durch Links auf die entsprechenden Dateien aus dem verwendeten JDK.

Sobald keine Fehler mehr auftreten, lassen Sie Tomcat beim Booten automatisch starten: chkconfig -a tomcat5

(Optional) Insbesondere im Hinblick auf ein mögliches Tomcat-only-Deployment kann es erwünscht sein, den vom Shibboleth-Installationsskript erzeugten Java Keystore, der ein selbstsigniertes Zertifikat enthält, durch einen Java Keystore mit Ihrem DFN-PKI-Zertifikat zu ersetzen. Ersetzen Sie hierzu die Datei /srv/idp/credentials/idp.jks durch einen Java-Keystore, der Ihr DFN-PKI-Zertifikat, den zugehörigen Private Key und die DFN-PKI CA Chain enthält. Um den Private Key in den Keystore zu importieren, können Sie z.B. dieses Tool verwenden. Die übrigen Zertifikate können mit dem im JDK enthaltenen Werkzeug keytool importiert werden.

Schritt 5: Konfiguration des Shibboleth Identity Providers: Metadaten

Zur Teilnahme an einer oder mehreren Föderationen ist das Einbinden der jeweiligen Metadaten erforderlich:

Der URL, unter dem die DFN-AAI Test- und Produktivmetadaten bezogen werden können, kann hier abgerufen werden.
Der Zugang zu den Metadaten von TestShib2 ist hier beschrieben. Zur Teilnahme an der TestShib2-Föderation müssen Sie sich wie auf deren Webseite beschrieben ggf. erst einen (kostenlosen) OpenIDP- oder ProtectNetwork-Account besorgen.

Shibboleth 2.0 bietet verschiedene Möglichkeiten an, Metadaten einzubinden. Die folgenden Einträge in /srv/idp/conf/relying-party.xml verwenden exemplarisch den traditionellen Weg, die Metadaten regelmäßig (z.B. per nächtlichem Cronjob) automatisch herunterzuladen und über das Dateisystem einzubinden:

<MetadataProvider id="DFNprod" xsi:type="FilesystemMetadataProvider" xmlns="urn:mace:shibboleth:2.0:metadata"
                          metadataFile="/srv/metadata/DFN-AAI-metadata.xml" maintainExpiredMetadata="true" />
<MetadataProvider id="DFNtest" xsi:type="FilesystemMetadataProvider" xmlns="urn:mace:shibboleth:2.0:metadata"
                          metadataFile="/srv/metadata/DFN-AAI-Test-metadata.xml" maintainExpiredMetadata="true" />
<MetadataProvider id="TestShib2" xsi:type="FilesystemMetadataProvider" xmlns="urn:mace:shibboleth:2.0:metadata"
                          metadataFile="/srv/metadata/testshib-two-metadata.xml" maintainExpiredMetadata="true" />

Stellen Sie durch manuellen Download der Metadaten sicher, dass sich diese unter den angegebenen Pfaden befinden.
(Optional) Die in relying-party.xml enthaltenen Beispiele zeigen auch, wie die Metadaten-URLs direkt eingebunden werden können. Es empfiehlt sich dann der Einsatz eines FileBackedHTTPMetadataProvider.

Schritt 6: Konfiguration des Shibboleth Identity Providers: Benutzer-Authentifizierung

Im Unterschied zu früheren Versionen ist der Shibboleth IDP 2.0 nicht mehr auf externe Komponenten zur Benutzerauthentifizierung angewiesen. Für Einrichtungen, die nicht bereits ein anderes Web Single Sign-On Verfahren einsetzen, bietet es sich deshalb an, der Einfachheit halber auf dieses neue Shibboleth-Bordmittel zurückzugreifen. Im Folgenden wird exemplarisch gezeigt, wie eine LDAP-basierte Authentifizierung der Benutzer eingerichtet werden kann:

Die Datei /srv/idp/conf/handler.xml ist um folgenden Eintrag zu erweitern:

<LoginHandler xsi:type="UsernamePassword"
                  jaasConfigurationLocation="file:///srv/idp/conf/login.config">
        <AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</AuthenticationMethod>
</LoginHandler>

Der in der Datei spezifizierte LoginHandler vom Typ RemoteUser sollte auskommentiert werden; der in der Default-Konfiguration ebenfalls vorhandene LoginHandler PreviousSession sollte hingegen beibehalten werden (durch Auskommentieren dieses LoginHandlers wird die Single Sign-On Funktionalität deaktiviert).

Die LDAP-Konfiguration in der Datei /srv/idp/conf/login.config ist an die lokalen Gegebenheiten anzupassen. Typischerweise ist am LDAP-Server ein neuer technischer Account (häufig als LDAP ProxyUser bezeichnet) einzurichten, der ausreichende Lese-Berechtigungen hat, um anhand des vom Benutzer im Webformular eingegebenen Benutzernamens nach dem passenden LDAP-Objekt suchen zu können. Im folgenden Beispiel könnten sich Benutzer entweder mit ihrem Benutzernamen (LDAP-Attribut uid) oder ihrer E-Mail-Adresse (LDAP-Attribut mail) einloggen:

edu.vt.middleware.ldap.jaas.LdapLoginModule required
      host="ldap.example.com"
      port="636"
      ssl="true"
      serviceUser="cn=ReadProxyShibboleth,ou=services,dc=example,dc=com"
      serviceCredential="ProxyUserPassword"
      base="ou=users,dc=example,dc=com"
      userField="uid,mail";

Die dringend empfohlene Verwendung einer SSL- oder TLS-verschlüsselten Verbindung zum LDAP-Server setzt voraus, dass Shibboleth das Server-Zertifikat des LDAP-Servers verifizieren kann. Je nach eingesetztem JDK und verwendeter PKI kann es dazu erforderlich sein, dass die CA Chain der PKI, die auch unter Schritt 2 zur Apache2-Konfiguration verwendet wurde, in die Liste der vertrauenswürdigen Zertifikate aufgenommen wird. Hierzu wird das vom JDK mitgelieferte Werkzeug keytool wie folgt eingesetzt:

cd $JAVA_HOME/jre/lib/security/

keytool -import -file /tmp/zu_importierendes_zertifikat -keystore cacerts

Schritt 7: Konfiguration des Shibboleth Identity Providers: Erster Funktionstest

Ihr Shibboleth Identity Provider sollte nun bereits dazu in der Lage sein, Benutzer zu authentifizieren und damit ein organisationsübergreifendes Web Single Sign-On zu ermöglichen. Um dies auszuprobieren, können Sie Ihren IDP selbst bei TestShib2 registrieren:

Am Ende der Anmeldung bekommen Sie eine entityId zugewiesen, die Sie sich für die Tests merken müssen.
Nachdem Ihr IDP in die TestShib2-Föderation aufgenommen wurde, sollten Sie die automatisch aktualisierten TestShib2-Metadaten erneut herunterladen und im richtigen Verzeichnis ablegen.
Auf der Webseite des TestShib2-SPs geben Sie die entityId Ihres IDPs ein.
Sie werden zu Ihrem IDP weitergeleitet und können sich dort mit Benutzername und Passwort authentifizieren.
Nach erfolgreichem Login werden Sie zu einer informativen Textausgabe des TestShib2-SPs weitergeleitet.

Das Sicherstellen dieser Funktionalität ist die Basis für alle weiteren Konfigurationsmaßnahmen. Gehen Sie eventuell auftretenden Fehlern auf jeden Fall nach! Einige Beispiele:

Der TestShib2-SP gibt vor der Weiterleitung eine Fehlermeldung aus: Mit hoher Wahrscheinlichkeit stimmt etwas mit den eingegebenen Metadaten nicht. Sie können sie editieren oder löschen und den IDP neu eintragen.
Die Weiterleitung zum IDP funktioniert nicht, da keine Verbindung zu ihm möglich ist: Stellen Sie sicher, dass Apache2 läuft und Port 443 im Firewall freigeschaltet ist.
Der IDP zeigt keine Loginmaske an, sondern nur eine leere weiße Seite oder eine Tomcat-Fehlermeldung: Prüfen Sie die Protokolldateien in /var/log/tomcat5/base auf Java-Exceptions; diese sind in den meisten Fällen auf fehlende oder konfliktäre Java-Bibliotheken (.jar-Dateien) zurückzuführen. Prüfen Sie ferner die Protokolldateien in /srv/idp/logs: Hier verzeichnete Java-Exceptions sind meist durch Syntaxfehler in den XML-basierten Shibboleth-Konfigurationsdateien bedingt. Prüfen Sie alle Stellen in diesen Dateien, die Sie bislang modifiziert haben.

Das Einloggen schlägt trotz des richtig eingegebenen LDAP-Passworts immer fehl: Ergänzen Sie die Datei /srv/idp/conf/logging.xml um folgenden Eintrag und starten Sie Tomcat5 neu:

    <logger name="edu.vt.middleware.ldap">
        <level value="DEBUG" />
    </logger>

Bitte beachten Sie, dass bei diesem Loglevel auch Benutzerpasswörter im Klartext in die Protokolldateien eingehen. Nach erfolgreicher LDAP-Verbindungsfehlerdiagnose sollten Sie den Loglevel deshalb mindestens auf INFO reduzieren.

Schritt 8: Konfiguration des Shibboleth Identity Providers: Corporate Design

Das Formular zur Eingabe von Benutzername und Passwort kann durch Editieren der Datei login.jsp (im Verzeichnis /srv/www/tomcat5/base/webapps/idp bzw. im Verzeichnis /resources/webpages der Shibboleth IDP Quelltextdistribution an eigene Designvorgaben angepasst werden. Die anderen .jsp-Dateien in diesem Verzeichnis sind nur in Server-Fehlerfällen relevant und sollten zumindest um geeignete Kontaktinformationen angereichert werden.

Schritt 9: Konfiguration des Shibboleth Identity Providers: Attribute-Resolver

Neben der Benutzerauthentifizierung ist das Bereitstellen von Benutzerattributen die zweite wichtige Aufgabe eines Shibboleth Identity Providers. Im Folgenden wird exemplarisch gezeigt, wie Benutzerattribute von einem LDAP-Server übernommen werden können:

Die gesamte Konfiguration erfolgt über die Datei /srv/idp/conf/attribute-resolver.xml

Der zu verwendende LDAP-Server ist als DataConnector zu definieren. Auch hier kommt typischerweise wieder ein LDAP-ProxyUser mit entsprechenden Leseberechtigungen zu Einsatz:

<resolver:DataConnector id="myLDAP" xsi:type="LDAPDirectory" xmlns="urn:mace:shibboleth:2.0:resolver:dc"
    ldapURL="ldaps://ldap.example.com" baseDN="ou=users,dc=example,dc=com" 
 principal="cn=ReadProxyShibboleth,ou=services,dc=example,dc=com" 
 principalCredential="ProxyUserPassword">
    <FilterTemplate>
        <![CDATA[
            (|(uid=$requestContext.principalName)(mail=$requestContext.principalName))
        ]]>
    </FilterTemplate>
</resolver:DataConnector>

Hinsichtlich der Verwendung SSL- oder TLS-verschlüsselter LDAP-Server-Verbindungen gelten dieselben Anmerkungen wie in Schritt 6. Der verwendete LDAP-Suchfilter unterstützt auch hier wieder die Suche anhand von Kennung (uid) und E-Mail-Adresse (mail).

Die Bereitstellung der eduPerson-Attribute, auf denen auch das DFN-AAI-Schema beruht, ist größtenteils bereits vorkonfiguriert und muss nur durch Entfernen der Kommentarzeichen aktiviert werden:

<resolver:AttributeDefinition id="eduPersonEntitlement" xsi:type="Simple" xmlns="urn:mace:shibboleth:2.0:resolver:ad"
        sourceAttributeID="eduPersonEntitlement">
        <resolver:Dependency ref="myLDAP" />       
        <resolver:AttributeEncoder xsi:type="SAML1String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
            name="urn:mace:dir:attribute-def:eduPersonEntitlement" />        
        <resolver:AttributeEncoder xsi:type="SAML2String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
            name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7" friendlyName="eduPersonEntitlement" />
</resolver:AttributeDefinition>

Das folgende Beispiel zeigt, wie ein Attribut zur Laufzeit aus zwei anderen Attributen zusammengesetzt werden kann, und wie ein einmal definiertes Attribut unter zwei Namen (cn und displayName) bereitgestellt werden kann:

<resolver:AttributeDefinition id="Vorname_Nachname" xsi:type="Template" xmlns="urn:mace:shibboleth:2.0:resolver:ad">
        <resolver:Dependency ref="myLDAP" />
                <Template>
                        <![CDATA[
                                ${givenName} ${sn}
                        ]]>
                </Template>
                <SourceAttribute>givenName</SourceAttribute>
                <SourceAttribute>sn</SourceAttribute>
</resolver:AttributeDefinition>

<resolver:AttributeDefinition id="cn" xsi:type="Simple" xmlns="urn:mace:shibboleth:2.0:resolver:ad"
        sourceAttributeID="Vorname_Nachname">
        <resolver:Dependency ref="Vorname_Nachname" />
        <resolver:AttributeEncoder xsi:type="SAML1String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" 
	name="urn:mace:dir:attribute-def:cn" />
        <resolver:AttributeEncoder xsi:type="SAML2String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" 
	name="urn:oid:2.5.4.3" friendlyName="cn" />

</resolver:AttributeDefinition>

<resolver:AttributeDefinition id="displayName" xsi:type="Simple" xmlns="urn:mace:shibboleth:2.0:resolver:ad"
        sourceAttributeID="Vorname_Nachname">
        <resolver:Dependency ref="Vorname_Nachname" />
        <resolver:AttributeEncoder xsi:type="SAML1String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" 
	name="urn:mace:dir:attribute-def:displayName" />
        <resolver:AttributeEncoder xsi:type="SAML2String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" 
	name="urn:oid:2.16.840.1.113730.3.1.241" friendlyName="displayName" />

</resolver:AttributeDefinition>

Auch die Berechnung der eduPersonTargetedID kann dynamisch zur Laufzeit erfolgen:

<resolver:DataConnector xsi:type="ComputedId" xmlns="urn:mace:shibboleth:2.0:resolver:dc"
                            id="computedID"
                            generatedAttributeID="computedID"
                            sourceAttributeID="uid"
                            salt="Lange_zufaellig_gewaehlte_Zeichenkette">
        <resolver:Dependency ref="myLDAP" />

</resolver:DataConnector>

<resolver:AttributeDefinition id="eduPersonTargetedID" xsi:type="SAML2NameID" 
	xmlns="urn:mace:shibboleth:2.0:resolver:ad"
        nameIdFormat="urn:oasis:names:tc:SAML:2.0:nameid-format:persistent"
        sourceAttributeID="computedID">
        <resolver:Dependency ref="computedID" />
        <resolver:AttributeEncoder xsi:type="SAML1XMLObject" xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
                name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10" />
        <resolver:AttributeEncoder xsi:type="SAML2XMLObject" xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
                name="urn:oid:1.3.6.1.4.1.5923.1.1.1.10" friendlyName="eduPersonTargetedID" />
</resolver:AttributeDefinition>

Hierzu ist anzumerken, dass die Shibboleth-Entwickler inzwischen die Verwendung einer relationalen Datenbank zur Verwaltung der eduPersonTargetedId empfehlen.

Schritt 10: Konfiguration des Shibboleth Identity Providers: Attribute-Filter

Während in attribute-resolver.xml festgelegt wird, welche Attribute prinzipiell über Benutzer bekannt sind, wird über attribute-filter.xml festgelegt, welche Attribute welcher Benutzer an welche Shibboleth Service Provider übermittelt werden dürfen. Es empfiehlt sich, zusammen mit dem zuständigen Datenschutzbeauftragten eine Default-Policy festzulegen, die vorgibt, welche Benutzerattribute an alle Service Provider herausgegeben werden dürfen. Falls dazu beispielsweise die Attribute eduPersonEntitlement und eduPersonAffiliation gehören sollen, könnte folgende AttributeFilterPolicy angelegt werden:

<AttributeFilterPolicy id="DefaultPolicy">
    <PolicyRequirementRule xsi:type="basic:ANY" />
    <AttributeRule attributeID="eduPersonEntitlement"> <PermitValueRule xsi:type="basic:ANY" /> </AttributeRule>
    <AttributeRule attributeID="eduPersonAffiliation"> <PermitValueRule xsi:type="basic:ANY" /> </AttributeRule>        
</AttributeFilterPolicy>

Das Zusammenspiel von attribute-resolver.xml und attribute-filter.xml kann mit dem Kommandozeilenwerkzeug AACLI getestet werden. Nach dem Aufruf von
/srv/idp/bin/aacli.sh --configDir=/srv/idp/conf/ --principal=test --requester=https://sp.testshib.org/
wird angezeigt, welche Attribute des Benutzers test an den TestShib2 Service Provider übermittelt werden würden.

Herzlichen Glückwunsch! Damit ist Ihr Shibboleth Identity Provider installiert und grundlegend konfiguriert! Falls Sie Probleme gefunden haben, die hier nicht beschrieben sind, oder Ihnen Schritte gefehlt haben, wenden Sie sich bitte per E-Mail an die ganz oben angegebene Adresse - vielen Dank!

Weitere Anmerkungen zum Betrieb mehrerer IDP-Instanzen auf einer Maschine

Die Verwendung von JAAS hat den Nachteil, dass zur Benutzerauthentifizierung nur eine einzige, gemeinsame Konfiguration für alle IDP-Instanzen einer JVM (hier: der ganze Tomcat-Server) verwendet werden kann. Beim Hosting von IDPs, die Benutzer z.B. gegen verschiedene LDAP-Server authentifizieren sollen, kann deshalb alternativ wie unter Shibboleth 1.3 auf Tomcat-Realms zurückgegriffen werden:

In der Datei /etc/tomcat5/base/server.xml jeden Host-Eintrag um eine JNDIRealm erweitern und den Authentifizierungsparameter bei den beiden Konnektoren ergänzen:

Die Datei /srv/www/tomcat5/base/webapps/<host>/idp/WEB-INF/web.xml wie folgt anpassen:

Die Angaben zum Shibboleth Authentifizierungsservlet durch Kommentare unwirksam machen:

Die Container Managed Authentication aktivieren:

    <security-constraint>
        <display-name>Shibboleth IdP</display-name>
        <web-resource-collection>
            <web-resource-name>user authentication</web-resource-name>
            <url-pattern>/Authn/RemoteUser</url-pattern>
            <http-method>GET</http-method>
            <http-method>POST</http-method>
        </web-resource-collection>
        <auth-constraint>
            <role-name>*</role-name>
        </auth-constraint>
        <user-data-constraint>
            <transport-guarantee>CONFIDENTIAL</transport-guarantee>
        </user-data-constraint>
    </security-constraint>

    <login-config>
        <auth-method>FORM</auth-method>
        <realm-name>IDPAuth</realm-name>
        <form-login-config>
            <form-login-page>/login.jsp</form-login-page>
            <form-error-page>/login.jsp</form-error-page>
        </form-login-config>
    </login-config>

Durch diese Login-Config wird dasselbe Anmeldeformular verwendet, das vorher bereits für JAAS konfiguriert wurde. Die geänderte Konfiguration kann nach einem Tomcat-Neustart getestet werden.

Installationsanleitung ARPViewer 2.0

Das vom SWITCH entwickelte IDP-Plugin ARPViewer kann u.a. dazu verwendet werden, jedem Benutzer

beim ersten Aufruf des eigenen IDPs eine Seite mit Benutzungsrichtlinien (Terms of Use) anzuzeigen, denen der Benutzer zustimmen muss.
bei der ersten Verwendung eines neuen Service Providers eine Art Visitenkarte (Digital Id Card) anzuzeigen, die Aufschluss darüber gibt, welche Attribute vom IDP an den SP übermittelt werden, sofern der Benutzer diesem Vorgang zustimmt.

Der Einsatz dieses Werkzeugs unterstützt somit die grundlegende datenschutzrechtliche Anforderung, dass personenbezogene Daten nur mit Zustimmung des Benutzers verarbeitet werden dürfen. Nachfolgend wird die Installation in Ergänzung zur oben beschriebenen IDP-Konfiguration beschrieben.

1. Vorbereitungen

Download der Software
Entpacken der ZIP-Datei in ein temporäres Verzeichnis.
Unter doc/install_config.html findet sich eine gute englische Anleitung.

2. MySQL-Datenbank bereitstellen

Falls noch nicht vorhanden:

MySQL über Yast installieren
Beim Booten automatisch starten lassen (chkconfig -a mysql)
MySQL-root-Passwort ändern (eine "Anleitung" dazu wird beim ersten Start von MySQL ausgegeben).

Datenbank und Benutzer für ARPViewer anlegen.
Bei paralleler Nutzung der MySQL-Datenbank durch mehrere IDP-Instanzen muss jeweils eine neue Datenbank verwendet werden; es empfiehlt sich ferner ein eigener neuer MySQL-Benutzer pro IDP-Instanz.

(Anmerkung: Die nachfolgend genannten SQL-Befehle orientieren sich an der englischen Installationsanleitung und vergeben die Zugriffsrechte evtl. nicht minimal. Als Beispiel für eine Multi-Instanzinstallation wird das Suffix 42 verwendet; falls eine Single-Instanzinstallation gewünscht wird, empfiehlt sich die Verwendung der SQL-Befehle aus der Original-Installationsanleitung.)

CREATE DATABASE arpviewer42;
CREATE USER 'arpadmin42'@'localhost' IDENTIFIED BY 'arpadmin123';
GRANT USAGE ON *.* TO 'arpadmin42'@'localhost';
GRANT SELECT , INSERT , UPDATE , DELETE ON `arpviewer42`.* TO 'arpadmin42'@'localhost';
ALTER DATABASE arpviewer42 DEFAULT CHARACTER SET utf8 COLLATE utf8_general_ci;

use arpviewer42;
create table ArpUser (
idxArpUser int unsigned auto_increment primary key,
auUserName varchar(255) not null,
auLastTermsVersion varchar(255),
auFirstAccess timestamp,
auLastAccess timestamp
);
create index idxUserName on ArpUser (auUserName );
create table ShibProvider (
idxShibProvider int unsigned auto_increment primary key,
spProviderName varchar(255)
);
insert into ShibProvider (idxShibProvider) values (1);
create index idxProvidername on ShibProvider (spProviderName);
create table AttrReleaseApproval (
idxAttrReleaseApproval int unsigned auto_increment primary key,
araIdxArpUser int unsigned references ArpUser ( idxArpUser ),
araIdxShibProvider int unsigned references ShibProvider( idxShibProvider ),
araTimeStamp timestamp not null,
araTermsVersion varchar(255),
araAttributes text(2048)
);
create table ProviderAccess (
idxProviderAccess int unsigned auto_increment primary key,
paIdxArpUser int unsigned references ArpUser( idxArpUser ),
paIdxShibProvider int unsigned references ShibProvider( idxShibProvider ),
paAttributesSent text,
paTermsVersion varchar(255),
paIdxAttrReleaseApproval int unsigned references AttrReleaseApproval ( idxAttrReleaseApproval ),
paShibHandle varchar(255),
paTimeStamp timestamp not null
);

3. Tomcat5-Konfiguration anpassen

Datei /srv/www/tomcat5/base/conf/web.xml editieren und bei der Konfiguration von

<servlet-class>org.apache.jasper.servlet.JspServlet</servlet-class>

(ca. Zeile 197 im Auslieferungszustand) die folgenden Parameter ergänzen:

        <init-param>
                <param-name>compilerSourceVM</param-name>
                <param-value>1.5</param-value>
        </init-param>
        <init-param>
                <param-name>compilerTargetVM</param-name>
                <param-value>1.5</param-value>
        </init-param>

(Vielen Dank an Halm Reusser vom SWITCH für den Tipp!)

Um unschöne Tomcat-Fehlermeldungen während der nachfolgenden Konfigurationsschritte zu vermeiden, sollte Tomcat vorläufig beendet werden. Dies ist in Produktivumgebungen nicht unbedingt notwendig; Fehlermeldungen rund um nicht vorhandene (Default-)Pfade müssen dann eben ignoriert werden.

4. Apache-Konfiguration anpassen

Die Datei mit der IDP-vhost-Konfiguration editieren, z.B. /etc/apache2/vhosts.d/idp.example.com.conf
Darin die folgende Zeile ergänzen:

ProxyPass /arpviewer/ ajp://idp.example.com:8009/arpviewer/

(z.B. direkt unterhalb der ProxyPass-Anweisung für den IDP selbst)
Apache neu starten (rcapache2 restart)

5. Deployment

Ein Verzeichnis für die Konfigurationsdateien anlegen und die Dateien aus dem conf-Unterverzeichnis des Softwaredownloads hineinkopieren:

mkdir /local/idp/ArpViewer
cp -av /local/_installation/ArpViewer-2.0/conf/* /local/idp/ArpViewer

Datei arpviewer.war aus dem Hauptverzeichnis des Softwaredownloads ins webapps-Verzeichnis von Tomcat (/srv/www/tomcat5/base/webapps/) kopieren und dort entpacken (unzip arpviewer.war).
Mitgelieferte Java-Bibliotheken ins lib-Verzeichnis des Shibboleth-IDP kopieren:
cp /local/_installation/ArpViewer-2.0/to-idp-lib/* /srv/www/tomcat5/base/webapps/idp/WEB-INF/lib/

6. Anpassen der ARPViewer-Konfigurationsdateien

Im Verzeichnis mit den Konfigurationsdateien:

arpfilter/ArpFilter.properties : Beim Parameter ArpViewerDeployPath den URL an den eigenen IDP-Webserver anpassen.
arpviewer/ArpViewer.properties :

Bei Bedarf den Parameter "UseLocale" auf den Wert "DE_de" setzen.
Bei den Parametern AttrListFileName und LoggingConfig den Pfad an die eigene Installation anpassen.

arpviewer/AttributeList.txt : Hier wird festgelegt, in welcher Reihenfolge die Benutzerattribute angezeigt werden sollen. Bei Bedarf sollten die voreingestellten Attribute um die in der DFN-AAI verwendeten ergänzt werden.
arpviewer/logback.xml : Pfad zum Logfile festlegen; z.B. dasselbe Verzeichnis, in dem auch der Shibboleth IDP seine Logfiles ablegt.
common/ArpTerms.xml : In dieser Datei können die Terms of Use, die jedem Benutzer bei der ersten Nutzung des IDPs angezeigt werden, abgelegt werden.
common/Common.properties : Pfad zu den Konfigurationsdateien anpassen; das Shared Secret sollte auf einen anderen, zufällig gewählten Wert gesetzt werden.
common/DB.properties : Hier sind die Zugangsdaten zur in Schritt 2 eingerichteten MySQL-Datenbank einzutragen und der Pfad zur Konfigurationsdatei an die lokale Installation anzupassen.

Im Verzeichnis, in dem arpviewer.war deployed wurde (/srv/www/tomcat5/base/webapps/arpviewer/):

header.jsp und footer.jsp an das eigene Corporate Design anpassen.
web.xml und WEB-INF/web.xml : Pfade an die lokale Installation anpassen.
WEB-INF/classes/* : In diesen Dateien sind die Textfragmente, die dem Benutzer angezeigt werden, in verschiednen Sprachen enthalten und können bei Bedarf angepasst werden.

7. Anpassen der Shibboleth-IDP-Konfigurationsdateien

In /local/idp/conf/handler.xml den PreviousSession-Handler von Shibboleth durch den von ARPViewer ersetzen:

<LoginHandler xsi:type="PreviousSession" servletPath="/Authn/PreviousSession">
         <AuthenticationMethod>
             urn:oasis:names:tc:SAML:2.0:ac:classes:PreviousSession
        </AuthenticationMethod>
    </LoginHandler>

In /srv/www/tomcat5/base/webapps/idp/WEB-INF/web.xml die folgenden Einträge ergänzen und dabei auf die korrekten Pfade achten:

<servlet>
    <servlet-name>PreviousSession</servlet-name>
    <servlet-class>ch.SWITCH.aai.arpfilter.ArpFilterPreviousSessionServlet</servlet-class>
</servlet>

<servlet-mapping>
    <servlet-name>PreviousSession</servlet-name>
    <url-pattern>/Authn/PreviousSession</url-pattern>
</servlet-mapping>
<filter>
    <filter-name>ArpFilter</filter-name>
    <filter-class>ch.SWITCH.aai.arpfilter.ArpFilter</filter-class>
    <init-param>
      <param-name>Config</param-name>
      <param-value>
        /local/idp/ArpViewer/arpfilter/ArpFilter.properties;
        /local/idp/ArpViewer/common/Common.properties;
      </param-value>
    </init-param>
</filter>

<filter-mapping>
    <filter-name>ArpFilter</filter-name>
    <url-pattern>/Authn/RemoteUser</url-pattern>
</filter-mapping>

<filter-mapping>
    <filter-name>ArpFilter</filter-name>
    <url-pattern>/Authn/PreviousSession</url-pattern>
</filter-mapping>

Optional kann die Konfiguration des Attribute-Resolvers (/local/idp/conf/attribute-resolver.xml) um abweichende Anzeigenamen und Beschreibungen der einzelnen Attribute erweitert werden. Dazu sind zwei neue Einträge pro Attribut und Sprache erforderlich:

<resolver:DisplayName xml:lang="de">Angezeigter Attributsname</resolver:DisplayName>
<resolver:DisplayDescription xml:lang="de">Hilfetext zu diesem Attribut</resolver:DisplayDescription>

Anschließend Tomcat neu/wieder starten (rctomcat5 restart) und die Protokolldateien (/var/log/tomcat5/base/* und /local/idp/logs/*) auf Fehler untersuchen.

8. Testen

Beliebigen Shibboleth SP aufrufen und zum Login den eigenen IDP auswählen.
Nach erfolgreichem Login erscheinen ggf. zuerst die eigenen Terms of Use und anschließend eine "digital id card", in der all diejenigen Attribute angezeigt werden, die zum aufgerufenen SP übermittelt werden sollen.

Impressum, a2822bj