Differences

This shows you the differences between two versions of the page.

Link to this comparison view

--- docpublic:systemes:shibboleth:spv2c7 [2015/05/29 20:10]
procacci@tem-tsp.eu [demarrage automatique]
+++ docpublic:systemes:shibboleth:spv2c7 [2017/02/21 09:42] (current)
procacci@tem-tsp.eu [Réference]
@@ Line 5: / Line 5: @@
   * https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPLinuxInstall
   * https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPGettingStarted
-  * https://federation.renater.fr/docs/installation#installer_un_sp_shibboleth
+  * https://services.renater.fr/federation/docs/installation#installer_un_sp_shibboleth
   * https://shib.kuleuven.be/docs/sp/2.x/install-sp-2.x-rhel.html
   * https://wiki.umn.edu/ShibAuth/Shibboleth2Xml
@@ Line 24: / Line 24: @@
 <code>
 # yum install shibboleth
 Dependencies Resolved
-=================================================================================================
+============================================================================================================================================
- Package                                        Arch                              Version                                    Repository                                      Size
+ Package                                             Arch                                   Version                                          Repository                                           Size
-=================================================================================================
+============================================================================================================================================
 Installing:
- shibboleth                                     x86_64                            2.5.4-3.2                                  security_shibboleth                            1.1 M
+ shibboleth                                          x86_64                                 2.5.5-3.1                                        security_shibboleth                                 1.1 M
 Installing for dependencies:
- libcurl-openssl                                x86_64                            7.42.1-1.1                                 security_shibboleth                            210 k
+ libcurl-openssl                                     x86_64                                 7.43.0-1.1                                       security_shibboleth                                 211 k
- libevent                                       x86_64                            2.0.21-4.el7                               base                                           214 k
+ libevent                                            x86_64                                 2.0.21-4.el7                                     base                                                214 k
- liblog4shib1                                   x86_64                            1.0.9-3.1                                  security_shibboleth                             68 k
+ liblog4shib1                                        x86_64                                 1.0.9-3.1                                        security_shibboleth                                  68 k
- libmemcached                                   x86_64                            1.0.16-3.el7                               base                                           236 k
+ libmemcached                                        x86_64                                 1.0.16-3.el7                                     base                                                236 k
- libsaml8                                       x86_64                            2.5.4-3.3                                  security_shibboleth                            923 k
+ libsaml8                                            x86_64                                 2.5.5-1.1                                        security_shibboleth                                 923 k
- libtool-ltdl                                   x86_64                            2.4.2-20.el7                               base                                            49 k
+ libtool-ltdl                                        x86_64                                 2.4.2-20.el7                                     base                                                 49 k
- libxml-security-c17                            x86_64                            1.7.3-3.1                                  security_shibboleth                            286 k
+ libxml-security-c17                                 x86_64                                 1.7.3-3.1                                        security_shibboleth                                 286 k
- libxmltooling6                                 x86_64                            1.5.4-4.2                                  security_shibboleth                            702 k
+ libxmltooling6                                      x86_64                                 1.5.6-1.1                                        security_shibboleth                                 702 k
- opensaml-schemas                               x86_64                            2.5.4-3.3                                  security_shibboleth                             29 k
+ opensaml-schemas                                    x86_64                                 2.5.5-1.1                                        security_shibboleth                                  29 k
- unixODBC                                       x86_64                            2.3.1-10.el7                               base                                           413 k
+ unixODBC                                            x86_64                                 2.3.1-10.el7                                     base                                                413 k
- xerces-c                                       x86_64                            3.1.1-6.el7                                base                                           878 k
+ xerces-c                                            x86_64                                 3.1.1-7.el7_1                                    updates                                             878 k
- xmltooling-schemas                             x86_64                            1.5.4-4.2                                  security_shibboleth                             12 k
+ xmltooling-schemas                                  x86_64                                 1.5.6-1.1                                        security_shibboleth                                  12 k
 Transaction Summary
-=============================================================
+======================================================================================================================================
 Install  1 Package (+12 Dependent packages)
 Total download size: 5.1 M
 Installed size: 28 M
-Is this ok [y/d/N]: y
@@ Line 58: / Line 58: @@
 <code>
-Installed:
+ Installed:
-  shibboleth.x86_64 0:2.5.4-3.2
+  shibboleth.x86_64 0:2.5.5-3.1
 </code>
@@ Line 65: / Line 65: @@
 ==== demarrage automatique ====
+je conseil d'installer le package bash-completion.noarch pour profiter de la completion des commandes systemctl
 <code>
-[root@wood yum.repos.d]# systemctl list-units --all | grep -i shib
-shibd.service                           loaded inactive dead      LSB: Shibboleth 2 Service Provider Daemon
-[root@wood yum.repos.d]# systemctl enable shibd.service
+[root@wikis yum.repos.d]# systemctl enable shibd.service
-shibd.service is not a native service, redirecting to /sbin/chkconfig.
+ln -s '/usr/lib/systemd/system/shibd.service' '/etc/systemd/system/multi-user.target.wants/shibd.service'
-Executing /sbin/chkconfig shibd on
-The unit files have no [Install] section. They are not meant to be enabled
-using systemctl.
-Possible reasons for having this kind of units are:
-) A unit may be statically enabled by being symlinked from another unit's
-   .wants/ or .requires/ directory.
-) A unit's purpose may be to act as a helper for some other unit which has
-   a requirement dependency on it.
-) A unit may be started when needed via activation (socket, path, timer,
-   D-Bus, udev, scripted systemctl call, ...).
-[root@wood yum.repos.d]# chkconfig --list | grep shibd
-Note: This output shows SysV services only and does not include native
+[root@wikis shibboleth]# systemctl start shibd.service
-      systemd services. SysV configuration data might be overridden by native
+[root@wikis shibboleth]# systemctl status shibd.service
-      systemd configuration.
+shibd.service - Shibboleth Service Provider Daemon
+   Loaded: loaded (/usr/lib/systemd/system/shibd.service; enabled)
+   Active: active (running) since Fri 2015-08-07 17:31:14 CEST; 4s ago
+ Main PID: 668 (shibd)
+   CGroup: /system.slice/shibd.service
+           `-668 /usr/sbin/shibd -f -F
-      If you want to list systemd services use 'systemctl list-unit-files'.
+Aug 07 17:31:14 wikis systemd[1]: Started Shibboleth Service Provider Daemon.
-      To see services enabled on particular target use
-      'systemctl list-dependencies [target]'.
-shibd          	0:off	1:off	2:on	3:on	4:on	5:on	6:off
 </code>
-et manuel la premiere fois:
-<code>
-# /etc/init.d/shibd start ; tail -f /var/log/shibboleth/shibd.log
-</code>
 Ainsi que httpd restart / reload pour charger le mod_shib contenu dans /etc/httpd/conf.d/shib.conf
@@ Line 109: / Line 94: @@
-==== native.log ====
+==== emplacement des fichiers de log ====
+definis dans les fichier .logger :
 <code>
-[root@blog3 /var/log/httpd]
+[root@wood shibboleth]# grep fileName *.logger
-$ touch native.log
+native.logger:log4j.appender.native_log.fileName=/var/log/shibboleth-www/native.log
-[root@blog3 /var/log/httpd]
+native.logger:log4j.appender.warn_log.fileName=/var/log/shibboleth-www/native_warn.log
-$ chown apache native.log
+shibd.logger:log4j.appender.shibd_log.fileName=/var/log/shibboleth/shibd.log
+shibd.logger:log4j.appender.warn_log.fileName=/var/log/shibboleth/shibd_warn.log
+shibd.logger:log4j.appender.tran_log.fileName=/var/log/shibboleth/transaction.log
+shibd.logger:log4j.appender.sig_log.fileName=/var/log/shibboleth/signature.log
 </code>
@@ Line 139: / Line 131: @@
 Acces:
-  * http://www-pub.it-sudparis.eu/Shibboleth.sso/Status
+  * http://wood.tem-tsp.eu/Shibboleth.sso/Status
 les metadata directement:
-  * http://www-pub.it-sudparis.eu/Shibboleth.sso/Metadata
+  * http://wood.tem-tsp.eu/Shibboleth.sso/Metadata
+==== test config ====
+attention à la libCurl et openssl :
+from https://wiki.infn.it/progetti/cloud-areapd/aai_integration_with_keystone/aai_integrations_with_openstack_keystone_icehouse#aai_integrations_in_openstack_keystone_icehouse
+<code>
+even if the message is marked as critical, those errors can be ignored. On many RedHat/Fedora installation a different version of libcurl is required, the library is located in /opt/shibboleth/lib64. The shibboleth daemon calls the configuration script /etc/sysconfig/shibd in order to overwrite the system library. In case it is possible to remove the error running the command
+LD_LIBRARY_PATH=/opt/shibboleth/lib64 shibd -t
+</code>
 ===== Parametrage shibboleth2.xml =====
@@ Line 157: / Line 159: @@
 <code>
- <ApplicationDefaults entityID="https://wp.it-sudparis.eu/shibboleth"
+ <ApplicationDefaults entityID="https://wood.tem-tsp.eu/shibboleth"
                          REMOTE_USER="eppn persistent-id targeted-id">
-...
+..
  <!-- <SSO entityID="https://idp.example.org/shibboleth" -->
             <SSO
@@ Line 187: / Line 190: @@
 <!-- Chains together all your metadata sources. -->
         <MetadataProvider type="Chaining">
          <!--
             Federation IT />
             -->
                 <MetadataProvider type="XML" uri="http://shibidp.it-sudparis.eu/metadata/metadata.itsp.xml"
                   backingFilePath="/etc/shibboleth/metadata.itsp.xml" reloadInterval="7200">
@@ Line 206: / Line 206: @@
         </MetadataProvider>
+</code>
+autoriser l'ecriture au user shibd (user sous lequel tourne le daemon shibd) au repertoire de config / telecharement des metadata par defaut /etc/shibboeth
+<code>
+[root@wood shibboleth]# chgrp shibd .
+[root@wood shibboleth]# chmod 775 .
+</code>
+==== Certificats de signature des metadata ====
+cf https://services.renater.fr/federation/technique/metadata
+certificat Renater
+<code>
+[root@wood shibboleth]# wget  https://federation.renater.fr/renater/metadata-federation-renater.crt
 </code>
@@ Line 216: / Line 235: @@
   * https://services.renater.fr/federation/docs/fiches/virtualhosting-sp
+avant de generer une nouvelle paire de clée, il est preferable de sauvegarder la paire initiale (car le -f / force les ecrasera )
+<code>
+[root@wood shibboleth]# cp sp-key.pem sp-key-wood.pem
+[root@wood shibboleth]# cp sp-cert.pem sp-cert-wood.pem
+</code>
 générer la paire de clé pour l'application/vhost
 <code>
-[root@colmut shibboleth]# ./keygen.sh -h moodev.tem-tsp.eu -f
+[root@wood shibboleth]# ./keygen.sh -h mood.paris-saclay.fr -f
 Generating a 2048 bit RSA private key
-......+++
+............................................................................................+++
-.....................................................................................+++
+....................+++
 writing new private key to './sp-key.pem'
 -----
-[root@colmut shibboleth]# mv sp-key.pem moodev.tem-tsp.eu-sp-key.pem
-[root@colmut shibboleth]# mv sp-cert.pem moodev.tem-tsp.eu-sp-cert.pem
-[root@colmut shibboleth]# chown shibd moodev.tem-tsp.eu-sp-key.pem moodev.tem-tsp.eu-sp-cert.pem
+[root@wood shibboleth]# mv sp-key.pem sp-key-mood.paris-saclay.fr.pem
+[root@wood shibboleth]# mv sp-cert.pem sp-cert-mood.paris-saclay.fr.pem
+[root@wood shibboleth]# chown shibd sp-cert-mood.paris-saclay.fr.pem sp-key-mood.paris-saclay.fr.pem
 </code>
@@ Line 237: / Line 265: @@
 <code>
 ...
-       <ApplicationOverride id="moodev" entityID="https://moodev.tem-tsp.eu/sp"
+       <ApplicationOverride id="mood" entityID="https://mood.paris-saclay.fr/sp"
                   REMOTE_USER="eppn persistent-id targeted-id">
-         <CredentialResolver type="File" key="moodev.tem-tsp.eu-sp-key.pem" certificate="moodev.tem-tsp.eu-sp-cert.pem"/>
+         <CredentialResolver type="File" key="sp-key-mood.paris-saclay.fr.pem" certificate="sp-cert-mood.paris-saclay.fr.pem"/>
         </ApplicationOverride>
     </ApplicationDefaults>
 </code>

docpublic/systemes/shibboleth/spv2c7.1432930201.txt.gz · Last modified: 2015/05/29 20:10 by procacci@tem-tsp.eu

Show page Old revisions

[unknown link type]Back to top