Spring til login

Digitaliser.dk

Sektioner

Aktuel side

Gruppens profilbillede

OIOSAML

300 medlemmer | Medlemsskab via fri tilmelding (Bliv medlem - kræver login )

Vejledning i brug af OIOSimpleSAMLphp VirtualBox image

Ansvarlig: Brian Nielsen
Publiceret: 12.10.2010 10:16
Type: Dokument

Bemærk: Denne vejledning lå oprindeligt på Softwarebørsen [1] (lavet den 2. juli 2009), og er IKKE opdateret, men blot republiceret her da indholdet ikke længere er tilgængeligt på softwarebørsen.dk.

Dette er en vejledning i, hvordan OIOSimpleSAMLphp-imaget bruges ved hjælp af VirtualBox

Installation

VirtualBox er, lige som fx VMWare, et virtualiseringsprodukt, hvor det er muligt at køre et operativsystem inde i et andet. I modsætning til VMWare er VirtualBox open source og gratis på alle platforme, hvilket er årsagen til at VirtualBox er valgt i stedet for VMWare.

  1. Installer VirtualBox. Download på http://www.virtualbox.org/wiki/Downloads og installer. 
  2. Hent OIOSimpleSAMLphp-imaget her fra siden under releases i menuen
  3. Pak den downloadede fil ud - den indeholder en .vdi-fil, der er selve imaget
  4. Start VirtualBox
  5. Opret en ny virtual machine med typen Linux 2.6 og et vilkårigt navn
  6. Alloker 256 MB hukommelse eller mere - 256 MB er umiddelbart rigeligt
  7. Som Boot hard disk vælges eksisterende
  8. Tilføj en ny, og vælg den downloadede vdi-fil
  9. Gå videre og færdiggør konfigurationen

OIOSimpleSAMLphp kan nu bootes, men der mangler konfiguration af netværk.  På http://www.virtualbox.org/wiki/Downloads kan brugermanualen til VirtualBox hentes, og i afsnit 6.5 bliver opsætning af netværk gennemgået. Det er nødvendig at konfigurere VirtualBox med Host Interface Networking for at andre maskiner kan få adgang til SimpleSAML. Når det er konfigureret, kan imaget startes, og operativsystemet vil forsøge at få en ipadresse via dhcp.

Køres VirtualBox under Windows, er det muligt at Windows brokker sig over, at softwaren ikke har bestået Windows kompatibilitetstest. Ignorer blot dette.

 

Anvendelse

OIOSimpleSAMLphp bygger på SimpleSAMLphp, og er basalt set en installation af SimpleSAMLphp, de nødvendige afhængigheder samt konfiguration så SimpleSAMLphp fungerer i henhold til OIOSAML.

SimpleSAMLphp er installeret på en Ubuntu 8.04, der kører Apache 2.2 og PHP 5.4. SimpleSAMLphp kører på en version fra Subversion, der er checket ud til ~/src/simplesamlphp, hvor ~ her er brugeren "simplesamlphp"s homedir (/home/simplesamlphp).

Apache kigger efter sine filer i /var/www/simplesaml, og denne sti er linket til ~/src/simplesamlphp.

Der er ssh-adgang til serveren ved at bruge simplesamlphp/simplesamlphp som brugernavn/password. Hvis der skal bruges root-adgang, køres kommandoer med sudo foran. Passwordet er det samme som til simplesamlphp.

Den tildelte ip-adresse, som skal bruges når serveren skal tilgås med en browser, kan ses ved at køre "/sbin/ifconfig"  (Man kan med fordel køre med ”-a” option)

Selve serveren bruger to certifikater: Et til Apache, som bruges til https-forbindelser fra browseren og et, som bruges til signering af SAML-requests og responses.

Det første certifikat er konfigureret i Apache i /etc/apache2/sites-enabled/000-default

Selve certifikatet til SimpleSAMLphp ligger i ~/src/simplesamlphp/certs - her skal alle SimpleSAMLphps certifikater ligge, også dem der kommer fra SPerne. IdPens certifikat hedder server.crt. Hvis der skal ændres til et andet, kan det gøres i metadata/saml20-idp-hosted.php

Test at IdPen kører ved at gå ind på https:///simplesaml/ hvor er adressen på den kørende VirtualBox-instans, helst et kendt dnsalias. Der vil formentligt komme certifikatfejl, da certifikatet ikke passer på den tildelte ip-adresse, men dette kan ignoreres indtil videre.

 

IdP metadata

IdPens metadata kan findes på https:///simplesaml/ under Hosted SAML 2.0 Identity Provider Metadata (automatically generated). De urler, der er angivet i det genererede metadata bliver genereret automatisk ud fra den adresse, der er indtastet i browseren.

 

SP metadata

Service providers registreres ved at importere deres metadata i SimpleSAML php. Det gøres ved at gå ind på https:///simplesaml/admin/metadata-converter.php

Indsæt Service Providerens metadata i tekstfeltet og tryk Parse. Resultatet er et stykke php-kode, som indsættes nederst i ~/src/simplesamlphp/metadata/saml20-sp-remote.php lige før %>

Som udgangspunkt krypteres assertions ikke fra IdP til SP. For at slå kryptering til, indsættes

'assertion.encryption' => true,

efter linjen med 'requests.signing'. Redigering af filen kan ske med følgende kommando:

nano ~/src/simplesamlphp/metadata/saml20-sp-remote.php

Gem ved at trykke Ctrl-x efterfulgt af y og enter.

Herefter er SimpleSAMLphp klar til brug. Login sker via browsercertifikat.

I ~src/simplesamlphp/logs/simplesaml.log findes en debuglog hvis der er problemer.


Nye certifikater

Nye certifikater installeres som beskrevet ovenfor. Hvis der skal bruges nye test-certifikater, kan de genereres ved at køre ~/gencert.sh, som genererer et self-signed certifikat. Kør kommandoen og indtast de nødvendige informationer. I common name indtastes hostname for den maskine, certifikatet skal bruges til.

 

[1] http://www.softwareborsen.dk/projekter/softwarecenter/brugerstyring/oiosimplesamlphp/vejledning

Flere oplysninger

Artefakter

Klassifikationer

Indlæg til ressource

Ønsker du at skrive indlæg eller blot kommentere indlæg,
skal du være oprettet som bruger og logget ind.

Opret dig som Ny bruger    eller Log ind    

Tilføj fil(er)

En ny fil vil overskrive en eksisterende fil, hvis begge filer har samme navn og samme ekstension.

Tags

Tilføj dine egne tags

- (kræver login)

Andre brugeres tags til ressourcen

Der er ikke tilknyttet tags fra andre brugere

Minimér boks
Versioner
Version Dato
Ukendt (valgte) 12.10.2010 10:16 Vis supplerende information ...

Digitaliseringsstyrelsen