Differences

This shows you the differences between two versions of the page.

--- docpublic:systemes:shibboleth:idpv2x [2014/05/14 08:45]
procacci@tem-tsp.eu [changement de domain]
+++ docpublic:systemes:shibboleth:idpv2x [2014/05/19 14:00] (current)
procacci@tem-tsp.eu [publication des metadata]
@@ Line 1678: / Line 1678: @@
 si on oublie de recopier la librairie et qu'on a par redeployer les source pour generer le war, c'est assez troublant, l'IDP semble tourné d'apres les logs idp-process.log, c'est dans /var/log/tomcat6/localhost.log qu'on retrouvre l'erreur "SEVERE" lié au manque du CAS client !.
-==== changement de domain ====
+===== changement de domain =====
 nous sommes passés de it-sudparis.eu a tem-tsp.eu ! cela implique plusieurs taches
-=== certificat interne a l'IDP ===
+==== certificat interne a l'IDP ====
 https://wiki.shibboleth.net/confluence/display/SHIB2/IdPCertRenew
@@ Line 1718: / Line 1718: @@
 </code>
-=== changer le hostname ====
+==== changer le hostname =====
-certificats pour le frontal apache
+<code>
-publication des metadata
+[root@idpr shibboleth-idp]# grep idpr /etc/sysconfig/network
+HOSTNAME="idpr.tem-tsp.eu"
+[root@idpr metadata]# hostname
+idpr.tem-tsp.eu
+</code>
+==== certificats pour le frontal apache  ====
+changer la configuration du fichier ssl.conf d'apache pour charger les nouveau certificats public (TCS/renater)
+==== publication des metadata ====
+il faut modifier les metadata de notre propre IDP :  /opt/shibboleth-idp/metadata/idp-metadata.xml
+  * modifier l'entityID (si changement, pas necessairement recommandé !)
+  * modifier les URL d'acces aux services
+  * modifier l'enumeration du certificat
+<code>
+$ vim /opt/shibboleth-idp/metadata/idp-metadata.xml
+...
+< MIIDLDCCAhSgAwIBAgIVANglo+Sutu51HUayHY5NWsVctK5OMA0GCSqGSIb3DQEB
+< BQUAMBsxGTAXBgNVBAMTEGlkcG10LnRlbS10c3AuZXUwHhcNMTQwNTE5MTEzMTQ4
+...
+---
+> MIIDSDCCAjCgAwIBAgIVAOcj4Pu5khNxBuX5dSD5nr6TeIUhMA0GCSqGSIb3DQEB
+> BQUAMCIxIDAeBgNVBAMTF3NoaWJpZHAzLml0LXN1ZHBhcmlzLmV1MB4XDTExMDkw
+...
+<         <SingleSignOnService Binding="urn:mace:shibboleth:1.0:profiles:AuthnRequest" Location="https://idpr.tem-tsp.eu/idp/profile/Shibboleth/SSO"/>
+---
+>         <SingleSignOnService Binding="urn:mace:shibboleth:1.0:profiles:AuthnRequest" Location="https://shibidp1.it-sudparis.eu/idp/profile/Shibboleth/SSO"/>
+...
+<         <AttributeService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://idpr.tem-tsp.eu:8443/idp/profile/SAML2/SOAP/AttributeQuery"/>
+---
+>         <AttributeService Binding="urn:oasis:names:tc:SAML:2.0:bindings:SOAP" Location="https://shibidp1.it-sudparis.eu:8443/idp/profile/SAML2/SOAP/AttributeQuery"/>
+</code>
+il faut aussi appliquer le changement des informations dans le guicher Renater : federation.renater.fr/registry
+onglet informations techinques => URL et certificat
+==== Filtre CAS ====
+quand on utilise un filtre CAS, il faut penser à l'URL de retour au service qui est au nom de notre IDP, donc changer le hostname là aussi !
+dans /usr/local/shibboleth-identityprovider-2.4.0/src/main/webapp/WEB-INF/web.xml
+<code>
+<context-param>
+<param-name>serverName</param-name>
+<param-value>https://idpr.tem-tsp.eu</param-value>
+</context-param>
+</code>
+relancer install.sh pour deployer ce nouveau web.xml en prenant garde de ne pas ecraser le configuration actuelle .

docpublic/systemes/shibboleth/idpv2x.1400057143.txt.gz · Last modified: 2014/05/14 08:45 by procacci@tem-tsp.eu

Show page Old revisions

[unknown link type]Back to top