1. Seminář "Shibboleth v praxi" NTK Praha, 20.10.2010 Konfigurace EZproxy pro prostředí Shibboleth Mgr. Petr Novák Univerzita Karlova, Ústav výpočetní techniky

4. 3.registrace u eduID

5. 4.práce s přijatými afiliacemi - shibuser.txt

6. 5.bezpečné odhlášení – aktuální stav

8. nevyžaduje žádné dodatečné porty ke standardním HTTP a HTTPS portům,

9. podporovány jsou všechny standardní webové prohlížeče na platformách Linux, Mac OS X i Windows,

10. vhodné a dostupné řešení počínaje menšími vědeckými knihovnami až po velké univerzity s detailní akviziční politikou,

11. transparetně integrovatelné do prostředí Shibboleth.

13. snadné předávání atributů a filtrování / řazení uživatelů do skupin

16. identity provider (IdP) = poskytovatel identity – typicky serverová aplikace založená na Apachi a Tomcatu, napsaná v javě a využívající údaje o uživatelích uložených v LDAP

20. EZproxy UK součástí federace eduID

23. CN=login.hostname.domain.tld

25. pozor – certifikát neslouží pro autentizaci meziserverového SSL spojení (EZproxy ↔ informační zdroj) – pro tento účel má být (ale nemusí) jiný certifikát, vystavený na CN=*.hostname.domain.tld

27. <md:EntityDescriptor xmlns:md=&quot;urn:oasis:names:tc:SAML:2.0:metadata&quot;> <md:SPSSODescriptor protocolSupportEnumeration=&quot;urn:oasis:names:tc:SAML:2.0:protocol http://schemas.xmlsoap.org/ws/2003/07/secext&quot;> <md:Extensions> <idpdisc:DiscoveryResponse Binding=&quot;urn:oasis:names:tc:SAML:profiles:SSO:idp-discovery-protocol&quot; Location=&quot;urn:oasis:names:tc:SAML:2.0:protocol http://schemas.xmlsoap.org/ws/2003/07/secext&quot; index=&quot;1&quot; xmlns:idpdisc=&quot;urn:oasis:names:tc:SAML:profiles:SSO:idp-discovery-protocol&quot;/> </md:Extensions> <md:KeyDescriptor> <ds:KeyInfo xmlns:ds=&quot;http://www.w3.org/2000/09/xmldsig#&quot;> <ds:X509Data> <ds:X509Certificate>MIIEhDCCA2ygAwIBAgIQA+Tm7A+sXd+JKGnXJsvwLTANBgkqhkiG9w0BAQUFADA2 MQswCQYDVQQGEwJOTDEPMA0GA1UEChMGVEVSRU5BMRYwFAYDVQQDEw1URVJFTkEg U1NMIENBMB4XDTA5MTIyMjAwMDAwMFoXDTEyMTIyMTIzNTk1OVowVzELMAkGA1UE BhMCQ1oxJTAjBgNVBAoTHENoYXJsZXMgVW5pdmVyc2l0eSBpbiBQcmFndWUxITAf BgNVBAMTGGxvZ2luLmV6cHJveHkuaXMuY3VuaS5jejCCASIwDQYJKoZIhvcNAQEB BQADggEPADCCAQoCggEBAKXw1e19JpiQeBt6S0NPMFiebt2XveiVoNPkJgfMdKbM rD91zJxuLm7kxAUIp24iYlv5B/5avGUaIXNgfXXuL2uB7O74gom2fUQuZMIXbK+r MTP0u/iXDVOdmDKfP2sxZcgDjBUwabVh0QxNERdj4AF8j/p9MyR2ifFs5ZA9Aybn AceRs3iXutc0/qxdfEIPUKqxXh8DX5hfvpzLq1z/pqjZaDJ1kD9SroxRJkTt3MOW Fv0TCu66dDpOmN5pNnpxtF5ELQHIO4nStgoktQoCi6xZ4Cw+eshyBdy/rzCuySDY SrTBAG7UUUrQvfNNGr9MmEDdb8OxuQ4ojp5lMv5Z1CUCAwEAAaOCAWswggFnMB8G A1UdIwQYMBaAFAy9k2gM896ro0lrKzdXR+qQ47ntMB0GA1UdDgQWBBQaQRwoYI9v J01LmNiWQuBEAgQ9MTAOBgNVHQ8BAf8EBAMCBaAwDAYDVR0TAQH/BAIwADAdBgNV HSUEFjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwGAYDVR0gBBEwDzANBgsrBgEEAbIx AQICHTA6BgNVHR8EMzAxMC+gLaArhilodHRwOi8vY3JsLnRjcy50ZXJlbmEub3Jn L1RFUkVOQVNTTENBLmNybDBtBggrBgEFBQcBAQRhMF8wNQYIKwYBBQUHMAKGKWh0 dHA6Ly9jcnQudGNzLnRlcmVuYS5vcmcvVEVSRU5BU1NMQ0EuY3J0MCYGCCsGAQUF BzABhhpodHRwOi8vb2NzcC50Y3MudGVyZW5hLm9yZzAjBgNVHREEHDAaghhsb2dp bi5lenByb3h5LmlzLmN1bmkuY3owDQYJKoZIhvcNAQEFBQADggEBAJnUSqvJjiny IYRggUFQP+o46sf8wf3WM7xDOncBwuS5y+RSiCvRfftIYrf9R7WnXEcnpIPmugrj vgwoPyqQhcOu/alnp69ogjkS1b1mKKSKyUkhLIUsFsw+9Sh8iLEqboeWJVDhD3v3 OBAPbfWNZCXcTcXoIxk9PsiP0fGFO6EVw3tV9vGBTBYfUApiRDKOvO3xLPkSsmJh Lyj3jXth52Fp/1wHmZ5q4pR4gw83C1fla3q5ylMvksmlr4tLaCR0NX5fZzD2fCnG gbjp6yF2aheE4G+/ouASbZy6fijs58IAHczfB36XXBe7zcUS8VnW4y88WsDCH+Jv 2Dyuki1c8zY= </ds:X509Certificate> </ds:X509Data> </ds:KeyInfo> </md:KeyDescriptor> <md:AssertionConsumerService Binding=&quot;urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST&quot; Location=&quot;https://login.ezproxy.is.cuni.cz/Shibboleth.sso/SAML2/POST&quot; index=&quot;1&quot; isDefault=&quot;true&quot;/> <md:AssertionConsumerService Binding=&quot;urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact&quot; Location=&quot;https://login.ezproxy.is.cuni.cz/Shibboleth.sso/SAML2/Artifact&quot; index=&quot;2&quot;/> </md:SPSSODescriptor> </md:EntityDescriptor>

29. první tag je tzv. EntityDescriptor – musíte do něj ručně doplnit entityID jako je v tomto příkladu: <md:EntityDescriptor xmlns:md=&quot;urn:oasis:names:tc:SAML:2.0:metadata&quot; entityID=&quot; https://login.ezproxy.is.cuni.cz/sp/shibboleth &quot;>

30. entityID si zvolíte – konzultujte s osobou, která provozuje IdP server ve vaší instituci – doporučuji využít příkladu

31. Hodnota entityId pro komponentu federace (identity nebo service provider) je ve tvaru URL, kde hostname část URL odpovídá hostname serveru, na kterém je komponenta umístěna. Je doporučitelné, aby URL odkazovalo na metadata komponenty. (eduID.cz)

33. jednoduše řečeno adresa, na které přijímá EZproxy data od IdP

34. Assertion Consumer Service URL https://login.ezproxy.is.cuni.cz/Shibboleth.sso/ SAML2/POST

36. DiscoveryResponse Location – umístění pro eduID jehttps://www.eduid.cz/Shibboleth.sso/DS

37. certifikát pro podepisování

38. certifikát pro šifrování (oba vystavené pro login.ezproxy.is.cuni.cz)

39. URL pro předávání atributů

41. http://www.eduid.cz/docs/eduid/metadata/eduid-metadata.xml

43. Email musí být podepsán osobním digitálním certifikátem od CESNET CA.

44. Detailní popis procesu předání metadat operátorovi federace je k dispozici na URL

45. http://www.eduid.cz/wiki/eduid/admins/metadata/index

47. Metadatový soubor v tomto případě umístíme do adresáře s binárním souborem ezproxy (ezproxy.exe – Windows nebo ezproxy s atributem pro spouštění – Linux)

48. Součástí tohoto metadatového souboru musí být metadata příslušného Identity Provideru!

50. formát konfigurace:

51. ShibbolethMetadata

52. -EntityID=EZproxyEntityID

53. -File=MetadataFile

54. -Cert=EZproxyCertNumber

55. -URL=MetadataURL

58. definuje další autentizační mechanismy – LDAP, Active Directory, Windows doména a...

60. If login:auth eq &quot;shibboleth&quot;; IDP20 https://cas.cuni.cz/idp/shibboleth

62. If login:auth eq &quot;shibboleth&quot;; DS20 https://www.eduid.cz/wayf/

63. /Shibboleth

68. definice příkazem Group FACULTY1

69. lze kombinovat Group FACULTY1+FACULTY2...

70. na skupiny lze namapovat afiliace předané prostřednictvím shibbolethu

71. u EZproxy k tomu slouží pravidla definovaná v souboru shibuser.txt

73. eduPersonAffiliation – základní skupiny

74. eduPersonEntitlement – vazba na studijní programy UK

75. eduPersonOrgUnitDN – fakulty

76. co je to eduPerson? objektová třída popisující význam předávaných atributů

77. viz http://www.eduid.cz/wiki/eduid/admins/specs/eduperson/index

78. Afiliace – co se získává od IdP

79. eduPersonAffiliation

80. eduPersonEntitlement

82. Set login:loguser=auth:eduPersonTargetedID stanoví, že EZproxy definuje předané eduPersonTargetedID jako přihlašovací jméno

83. dále: otestujeme, zda uživatel přichází od požadovaného IdP, zahodíme ostatní

84. vynulujeme skupiny

85. otestujeme základní skupiny uživatelů (staff, student)

87. zakážeme přístup absolventům či externím uživatelům

88. definujeme skupinu CUNI všem, kdo prošli až sem

92. vymaže session na IdP serveru – není možné následné přihlášení k jinému zdroji

94. [email_address]