If you can't read please download the document
Upload
petr
View
1.165
Download
9
Embed Size (px)
Citation preview
2. Co se dozvme
3. b) konfigurace EZproxy - skupiny 2.generovn metadat 4. 3.registrace u eduID 5. 4.prce s pijatmi afiliacemi - shibuser.txt 6. 5.bezpen odhlen aktuln stav 7. Co je EZproxy
8. nevyaduje dn dodaten porty ke standardnm HTTP a HTTPS portm, 9. podporovny jsou vechny standardn webov prohlee na platformch Linux, Mac OS X i Windows, 10. vhodn a dostupn een ponaje menmi vdeckmi knihovnami a po velk univerzity s detailn akvizin politikou, 11. transparetn integrovateln do prosted Shibboleth. 12. PRO Shibboleth v EZproxy?
13. snadn pedvn atribut a filtrovn / azen uivatel do skupin 14. single-sign on s jinmi zdroji vyuvajcmi Shibboleth Shibboleth e pouze autentizaci a autorizaci, nikoli technick pstup k vlastnm zdrojm (= komunikace klient proxy - zdroj)! 15. Popisovan nastaven EZproxy je univerzln a informace lze vyut pro nastaven jinho service provideru
16. identity provider (IdP) = poskytovatel identity typicky serverov aplikace zaloen na Apachi a Tomcatu, napsan v jav a vyuvajc daje o uivatelch uloench v LDAP 17. Historie Shibbolethu v EZproxy
18. 3.0f podpora Identity Provideru verze 1.1 2005
2006
2008
19. implementace EZproxy UK do esk testovac federace czTestFed 2010
20. EZproxy UK soust federace eduID 21. Ped implementac
22. Parametry (osvden):
23. CN=login.hostname.domain.tld 24. Organizace=jmno organizace Pro vygenerovn (certifiktu i dosti) je mono pout vestavn genertor certifikt EZproxy dostupn z webovho admin rozhran nebo nstroj openssl, doporuuje se pout certifikt CA TERENA (vce viz sluby CA CESNET) 25. pozor certifikt neslou pro autentizaci meziserverovho SSL spojen (EZproxy informan zdroj) pro tento el m bt (ale nemus) jin certifikt, vystaven na CN=*.hostname.domain.tld 26. 27. MIIEhDCCA2ygAwIBAgIQA+Tm7A+sXd+JKGnXJsvwLTANBgkqhkiG9w0BAQUFADA2 MQswCQYDVQQGEwJOTDEPMA0GA1UEChMGVEVSRU5BMRYwFAYDVQQDEw1URVJFTkEg U1NMIENBMB4XDTA5MTIyMjAwMDAwMFoXDTEyMTIyMTIzNTk1OVowVzELMAkGA1UE BhMCQ1oxJTAjBgNVBAoTHENoYXJsZXMgVW5pdmVyc2l0eSBpbiBQcmFndWUxITAf BgNVBAMTGGxvZ2luLmV6cHJveHkuaXMuY3VuaS5jejCCASIwDQYJKoZIhvcNAQEB BQADggEPADCCAQoCggEBAKXw1e19JpiQeBt6S0NPMFiebt2XveiVoNPkJgfMdKbM rD91zJxuLm7kxAUIp24iYlv5B/5avGUaIXNgfXXuL2uB7O74gom2fUQuZMIXbK+r MTP0u/iXDVOdmDKfP2sxZcgDjBUwabVh0QxNERdj4AF8j/p9MyR2ifFs5ZA9Aybn AceRs3iXutc0/qxdfEIPUKqxXh8DX5hfvpzLq1z/pqjZaDJ1kD9SroxRJkTt3MOW Fv0TCu66dDpOmN5pNnpxtF5ELQHIO4nStgoktQoCi6xZ4Cw+eshyBdy/rzCuySDY SrTBAG7UUUrQvfNNGr9MmEDdb8OxuQ4ojp5lMv5Z1CUCAwEAAaOCAWswggFnMB8G A1UdIwQYMBaAFAy9k2gM896ro0lrKzdXR+qQ47ntMB0GA1UdDgQWBBQaQRwoYI9v J01LmNiWQuBEAgQ9MTAOBgNVHQ8BAf8EBAMCBaAwDAYDVR0TAQH/BAIwADAdBgNV HSUEFjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwGAYDVR0gBBEwDzANBgsrBgEEAbIx AQICHTA6BgNVHR8EMzAxMC+gLaArhilodHRwOi8vY3JsLnRjcy50ZXJlbmEub3Jn L1RFUkVOQVNTTENBLmNybDBtBggrBgEFBQcBAQRhMF8wNQYIKwYBBQUHMAKGKWh0 dHA6Ly9jcnQudGNzLnRlcmVuYS5vcmcvVEVSRU5BU1NMQ0EuY3J0MCYGCCsGAQUF BzABhhpodHRwOi8vb2NzcC50Y3MudGVyZW5hLm9yZzAjBgNVHREEHDAaghhsb2dp bi5lenByb3h5LmlzLmN1bmkuY3owDQYJKoZIhvcNAQEFBQADggEBAJnUSqvJjiny IYRggUFQP+o46sf8wf3WM7xDOncBwuS5y+RSiCvRfftIYrf9R7WnXEcnpIPmugrj vgwoPyqQhcOu/alnp69ogjkS1b1mKKSKyUkhLIUsFsw+9Sh8iLEqboeWJVDhD3v3 OBAPbfWNZCXcTcXoIxk9PsiP0fGFO6EVw3tV9vGBTBYfUApiRDKOvO3xLPkSsmJh Lyj3jXth52Fp/1wHmZ5q4pR4gw83C1fla3q5ylMvksmlr4tLaCR0NX5fZzD2fCnG gbjp6yF2aheE4G+/ouASbZy6fijs58IAHczfB36XXBe7zcUS8VnW4y88WsDCH+Jv 2Dyuki1c8zY= 28. Metadata 1.
29. prvn tag je tzv. EntityDescriptor muste do nj run doplnit entityID jako je v tomto pkladu: 30. entityID si zvolte konzultujte s osobou, kter provozuje IdP server ve va instituci doporuuji vyut pkladu 31. Hodnota entityId pro komponentu federace (identity nebo service provider) je ve tvaru URL, kde hostname st URL odpovd hostname serveru, na kterm je komponenta umstna. Je doporuiteln, aby URL odkazovalo na metadata komponenty. (eduID.cz) 32. Manage Shibboleth webov rozhran EZproxy
33. jednodue eeno adresa, na kter pijm EZproxy data od IdP 34. Assertion Consumer Service URL https://login.ezproxy.is.cuni.cz/Shibboleth.sso/ SAML2/POST 35. Metadata 2. - jak vypad metadatov soubor
36. DiscoveryResponse Location umstn pro eduID jehttps://www.eduid.cz/Shibboleth.sso/DS 37. certifikt pro podepisovn 38. certifikt pro ifrovn (oba vystaven pro login.ezproxy.is.cuni.cz) 39. URL pro pedvn atribut 40. Metadata 3. - daje o kontaktn osob a organizaci
41. http://www.eduid.cz/docs/eduid/metadata/eduid-metadata.xml 42. Metadatov soubor v XML...
43. Email mus bt podepsn osobnm digitlnm certifiktem od CESNET CA. 44. Detailn popis procesu pedn metadat opertorovi federace je k dispozici na URL 45. http://www.eduid.cz/wiki/eduid/admins/metadata/index 46. Provoz mimo federaci
47. Metadatov soubor v tomto ppad umstme do adrese s binrnm souborem ezproxy (ezproxy.exe Windows nebo ezproxy s atributem pro spoutn Linux) 48. Soust tohoto metadatovho souboru mus bt metadata pslunho Identity Provideru! 49. Nastaven Shibbolethu v EZproxy
50. formt konfigurace: 51. ShibbolethMetadata 52. -EntityID=EZproxyEntityID 53. -File=MetadataFile 54. -Cert=EZproxyCertNumber 55. -URL=MetadataURL 56. Pklad EZproxy UK
57. Nastaven Shibbolethu jako autentizanho zpsobu v EZproxy
58. definuje dal autentizan mechanismy LDAP, Active Directory, Windows domna a... 59. Shibboleth:
60. If login:auth eq "shibboleth"; IDP20https://cas.cuni.cz/idp/shibboleth 61. /Shibboleth Popsan konfigurace nedv monost vbru IdP pokud toto poadujeme, musme upravit doplnit URL Directory Service:
62. If login:auth eq "shibboleth"; DS20https://www.eduid.cz/wayf/ 63. /Shibboleth 64. prava pihlaovac strnky EZproxy
65. Na pslun link sta kliknout podle nastaven user.txt se
66. zobraz se sluba vbru IdP (WAYF / DS sluba) linkovn na zdroj odkaz si generuje EZproxy, pklad = Springerlink:
67. Skupiny v EZproxy
68. definice pkazem Group FACULTY1 69. lze kombinovat Group FACULTY1+FACULTY2... 70. na skupiny lze namapovat afiliace pedan prostednictvm shibbolethu 71. u EZproxy k tomu slou pravidla definovan v souboru shibuser.txt 72. Pedvan obsah - ukzka
73. eduPersonAffiliation zkladn skupiny 74. eduPersonEntitlement vazba na studijn programy UK 75. eduPersonOrgUnitDN fakulty 76. co je to eduPerson? objektov tda popisujc vznam pedvanch atribut 77. viz http://www.eduid.cz/wiki/eduid/admins/specs/eduperson/index 78. Afiliace co se zskv od IdP 79. eduPersonAffiliation 80. eduPersonEntitlement 81. Obsah shibuser.txt
82. Set login:loguser=auth:eduPersonTargetedID stanov, e EZproxy definuje pedan eduPersonTargetedID jako pihlaovac jmno 83. dle: otestujeme, zda uivatel pichz od poadovanho IdP, zahodme ostatn 84. vynulujeme skupiny 85. otestujeme zkladn skupiny uivatel (staff, student) 86. Shibuser.txt - pokraovn
87. zakeme pstup absolventm i externm uivatelm 88. definujeme skupinu CUNI vem, kdo proli a sem 89. definujeme pstup pro studenty / zamstnance jednotlivch fakult a zkladnch soust
pstup lze definovat a na rove jedince 90. Zvr
91. Single Log Out
92. vymae session na IdP serveru nen mon nsledn pihlen k jinmu zdroji 93.
94. [email_address]