1. Semin "Shibboleth v praxi" NTK Praha, 20.10.2010 Konfigurace EZproxy pro prosted Shibboleth Mgr. Petr Novk Univerzita Karlova, stav vpoetn techniky

2. Co se dozvme

1.Ped implementac

a) certifikty

3. b) konfigurace EZproxy - skupiny 2.generovn metadat 4. 3.registrace u eduID 5. 4.prce s pijatmi afiliacemi - shibuser.txt 6. 5.bezpen odhlen aktuln stav 7. Co je EZproxy

EZproxy je rewrite proxy server - middleware:

serverov aplikace, nevyaduje instalaci dnho dodatenho SW na stran koncovch uivatel,

8. nevyaduje dn dodaten porty ke standardnm HTTP a HTTPS portm, 9. podporovny jsou vechny standardn webov prohlee na platformch Linux, Mac OS X i Windows, 10. vhodn a dostupn een ponaje menmi vdeckmi knihovnami a po velk univerzity s detailn akvizin politikou, 11. transparetn integrovateln do prosted Shibboleth. 12. PRO Shibboleth v EZproxy?

Zkladn vhody:

EZproxy zdroje me vyuvat vce instituc zapojench v eduID

13. snadn pedvn atribut a filtrovn / azen uivatel do skupin 14. single-sign on s jinmi zdroji vyuvajcmi Shibboleth Shibboleth e pouze autentizaci a autorizaci, nikoli technick pstup k vlastnm zdrojm (= komunikace klient proxy - zdroj)! 15. Popisovan nastaven EZproxy je univerzln a informace lze vyut pro nastaven jinho service provideru

Terminologie:

service provider (SP) = poskytovatel slueb zde EZproxy

16. identity provider (IdP) = poskytovatel identity typicky serverov aplikace zaloen na Apachi a Tomcatu, napsan v jav a vyuvajc daje o uivatelch uloench v LDAP 17. Historie Shibbolethu v EZproxy

2004

verze 3.0e betaverze podporujc Shibboleth Service Provider

18. 3.0f podpora Identity Provideru verze 1.1 2005

verze 3.4a oficiln podporuje Shibboleth autentizaci

2006

4.0f - podpora metadat formtu 1.2 a 1.3

2008

5.1a podpora pro verze IdP 1.3/2.0

19. implementace EZproxy UK do esk testovac federace czTestFed 2010

5.3 podpora IdP verze 2.1

20. EZproxy UK soust federace eduID 21. Ped implementac

V EZproxy je nutno nakonfigurovat X.509 certifikt pro podepisovn a ifrovn komunikace s IdP

22. Parametry (osvden):

dlka kle 2048 bit

23. CN=login.hostname.domain.tld 24. Organizace=jmno organizace Pro vygenerovn (certifiktu i dosti) je mono pout vestavn genertor certifikt EZproxy dostupn z webovho admin rozhran nebo nstroj openssl, doporuuje se pout certifikt CA TERENA (vce viz sluby CA CESNET) 25. pozor certifikt neslou pro autentizaci meziserverovho SSL spojen (EZproxy informan zdroj) pro tento el m bt (ale nemus) jin certifikt, vystaven na CN=*.hostname.domain.tld 26. 27. MIIEhDCCA2ygAwIBAgIQA+Tm7A+sXd+JKGnXJsvwLTANBgkqhkiG9w0BAQUFADA2 MQswCQYDVQQGEwJOTDEPMA0GA1UEChMGVEVSRU5BMRYwFAYDVQQDEw1URVJFTkEg U1NMIENBMB4XDTA5MTIyMjAwMDAwMFoXDTEyMTIyMTIzNTk1OVowVzELMAkGA1UE BhMCQ1oxJTAjBgNVBAoTHENoYXJsZXMgVW5pdmVyc2l0eSBpbiBQcmFndWUxITAf BgNVBAMTGGxvZ2luLmV6cHJveHkuaXMuY3VuaS5jejCCASIwDQYJKoZIhvcNAQEB BQADggEPADCCAQoCggEBAKXw1e19JpiQeBt6S0NPMFiebt2XveiVoNPkJgfMdKbM rD91zJxuLm7kxAUIp24iYlv5B/5avGUaIXNgfXXuL2uB7O74gom2fUQuZMIXbK+r MTP0u/iXDVOdmDKfP2sxZcgDjBUwabVh0QxNERdj4AF8j/p9MyR2ifFs5ZA9Aybn AceRs3iXutc0/qxdfEIPUKqxXh8DX5hfvpzLq1z/pqjZaDJ1kD9SroxRJkTt3MOW Fv0TCu66dDpOmN5pNnpxtF5ELQHIO4nStgoktQoCi6xZ4Cw+eshyBdy/rzCuySDY SrTBAG7UUUrQvfNNGr9MmEDdb8OxuQ4ojp5lMv5Z1CUCAwEAAaOCAWswggFnMB8G A1UdIwQYMBaAFAy9k2gM896ro0lrKzdXR+qQ47ntMB0GA1UdDgQWBBQaQRwoYI9v J01LmNiWQuBEAgQ9MTAOBgNVHQ8BAf8EBAMCBaAwDAYDVR0TAQH/BAIwADAdBgNV HSUEFjAUBggrBgEFBQcDAQYIKwYBBQUHAwIwGAYDVR0gBBEwDzANBgsrBgEEAbIx AQICHTA6BgNVHR8EMzAxMC+gLaArhilodHRwOi8vY3JsLnRjcy50ZXJlbmEub3Jn L1RFUkVOQVNTTENBLmNybDBtBggrBgEFBQcBAQRhMF8wNQYIKwYBBQUHMAKGKWh0 dHA6Ly9jcnQudGNzLnRlcmVuYS5vcmcvVEVSRU5BU1NMQ0EuY3J0MCYGCCsGAQUF BzABhhpodHRwOi8vb2NzcC50Y3MudGVyZW5hLm9yZzAjBgNVHREEHDAaghhsb2dp bi5lenByb3h5LmlzLmN1bmkuY3owDQYJKoZIhvcNAQEFBQADggEBAJnUSqvJjiny IYRggUFQP+o46sf8wf3WM7xDOncBwuS5y+RSiCvRfftIYrf9R7WnXEcnpIPmugrj vgwoPyqQhcOu/alnp69ogjkS1b1mKKSKyUkhLIUsFsw+9Sh8iLEqboeWJVDhD3v3 OBAPbfWNZCXcTcXoIxk9PsiP0fGFO6EVw3tV9vGBTBYfUApiRDKOvO3xLPkSsmJh Lyj3jXth52Fp/1wHmZ5q4pR4gw83C1fla3q5ylMvksmlr4tLaCR0NX5fZzD2fCnG gbjp6yF2aheE4G+/ouASbZy6fijs58IAHczfB36XXBe7zcUS8VnW4y88WsDCH+Jv 2Dyuki1c8zY= 28. Metadata 1.

Pedchoz slide ukazuje polotovar metadat generovan EZproxy (XML formt)

29. prvn tag je tzv. EntityDescriptor muste do nj run doplnit entityID jako je v tomto pkladu: 30. entityID si zvolte konzultujte s osobou, kter provozuje IdP server ve va instituci doporuuji vyut pkladu 31. Hodnota entityId pro komponentu federace (identity nebo service provider) je ve tvaru URL, kde hostname st URL odpovd hostname serveru, na kterm je komponenta umstna. Je doporuiteln, aby URL odkazovalo na metadata komponenty. (eduID.cz) 32. Manage Shibboleth webov rozhran EZproxy

URL sdlte administrtorovi ppadn sami doplnte do metadat

33. jednodue eeno adresa, na kter pijm EZproxy data od IdP 34. Assertion Consumer Service URL https://login.ezproxy.is.cuni.cz/Shibboleth.sso/ SAML2/POST 35. Metadata 2. - jak vypad metadatov soubor

komponenty:

EntityDescriptor

36. DiscoveryResponse Location umstn pro eduID jehttps://www.eduid.cz/Shibboleth.sso/DS 37. certifikt pro podepisovn 38. certifikt pro ifrovn (oba vystaven pro login.ezproxy.is.cuni.cz) 39. URL pro pedvn atribut 40. Metadata 3. - daje o kontaktn osob a organizaci

podvejte se na metadata sami:

41. http://www.eduid.cz/docs/eduid/metadata/eduid-metadata.xml 42. Metadatov soubor v XML...

Pslun administrativn nebo technick kontakt pole metadata v ploze emailu na adresu eduid-admin@eduid.cz.

43. Email mus bt podepsn osobnm digitlnm certifiktem od CESNET CA. 44. Detailn popis procesu pedn metadat opertorovi federace je k dispozici na URL 45. http://www.eduid.cz/wiki/eduid/admins/metadata/index 46. Provoz mimo federaci

Pro testovac ely nen nutn zapojit EZproxy do federace

47. Metadatov soubor v tomto ppad umstme do adrese s binrnm souborem ezproxy (ezproxy.exe Windows nebo ezproxy s atributem pro spoutn Linux) 48. Soust tohoto metadatovho souboru mus bt metadata pslunho Identity Provideru! 49. Nastaven Shibbolethu v EZproxy

editujte config.txt (ezproxy.cfg v pre 5.x verzch)

50. formt konfigurace: 51. ShibbolethMetadata 52. -EntityID=EZproxyEntityID 53. -File=MetadataFile 54. -Cert=EZproxyCertNumber 55. -URL=MetadataURL 56. Pklad EZproxy UK

ShibbolethMetadata -EntityID= https://login.ezproxy.is.cuni.cz/sp/shibboleth -File= MetadataFile -Cert= 11-URL= http://www.eduid.cz/docs/eduid/metadata/eduid-metadata.xml

57. Nastaven Shibbolethu jako autentizanho zpsobu v EZproxy

soubor user.txt udruje informace o loklnch uivatelch EZproxy +

58. definuje dal autentizan mechanismy LDAP, Active Directory, Windows domna a... 59. Shibboleth:

::Shibboleth

60. If login:auth eq "shibboleth"; IDP20https://cas.cuni.cz/idp/shibboleth 61. /Shibboleth Popsan konfigurace nedv monost vbru IdP pokud toto poadujeme, musme upravit doplnit URL Directory Service:

::Shibboleth

62. If login:auth eq "shibboleth"; DS20https://www.eduid.cz/wayf/ 63. /Shibboleth 64. prava pihlaovac strnky EZproxy

Pihlaste k EZproxy se pomoc Shibboleth

65. Na pslun link sta kliknout podle nastaven user.txt se

zobraz pmo pihlen k danmu IdP

66. zobraz se sluba vbru IdP (WAYF / DS sluba) linkovn na zdroj odkaz si generuje EZproxy, pklad = Springerlink:

https://login.ezproxy.is.cuni.cz/login?auth=shibboleth&url=http://ebooks.springerlink.com

67. Skupiny v EZproxy

pouv se pro definovn pstupu dle skupin, typicky: fakulty, zkladn sousti, pracovit s rozdlnm portfoliem pedplacench zdroj

68. definice pkazem Group FACULTY1 69. lze kombinovat Group FACULTY1+FACULTY2... 70. na skupiny lze namapovat afiliace pedan prostednictvm shibbolethu 71. u EZproxy k tomu slou pravidla definovan v souboru shibuser.txt 72. Pedvan obsah - ukzka

eduPersonTargetedID jednoznan identifiktor uivatele bez vznamu z bezp.dvod se nepedv slo studenta ani R apod.

73. eduPersonAffiliation zkladn skupiny 74. eduPersonEntitlement vazba na studijn programy UK 75. eduPersonOrgUnitDN fakulty 76. co je to eduPerson? objektov tda popisujc vznam pedvanch atribut 77. viz http://www.eduid.cz/wiki/eduid/admins/specs/eduperson/index 78. Afiliace co se zskv od IdP 79. eduPersonAffiliation 80. eduPersonEntitlement 81. Obsah shibuser.txt

MsgAuth ukld autentizan hlky do messages.txt, po odladn mono vypnout

82. Set login:loguser=auth:eduPersonTargetedID stanov, e EZproxy definuje pedan eduPersonTargetedID jako pihlaovac jmno 83. dle: otestujeme, zda uivatel pichz od poadovanho IdP, zahodme ostatn 84. vynulujeme skupiny 85. otestujeme zkladn skupiny uivatel (staff, student) 86. Shibuser.txt - pokraovn

pokud nejsou pidlen skupiny uivatel, zamtneme pstup (ten je mon jen pro studenty a akademick zamstnance)

87. zakeme pstup absolventm i externm uivatelm 88. definujeme skupinu CUNI vem, kdo proli a sem 89. definujeme pstup pro studenty / zamstnance jednotlivch fakult a zkladnch soust

dle selnk kateder, studijnch program, obor a dalch atribut

pstup lze definovat a na rove jedince 90. Zvr

EZproxy prozatm nepodporuje Single Log Out funkci

91. Single Log Out

jejm clem je skuten nejen vymazn cookies na stran prohlee (uivatel docl uzavenm prohlee)

92. vymae session na IdP serveru nen mon nsledn pihlen k jinmu zdroji 93.

Dotazy?

Dky za pozornost!

94. [email_address]