[[SP v2]]
This is an old revision of the document!
SP v2
Réference
Repo opensuse
# wget http://download.opensuse.org/repositories/security://shibboleth/CentOS_5/security:shibboleth.repo
yum install
# yum install shibboleth Dependencies Resolved ====================================================================================================================== Package Arch Version Repository Size ====================================================================================================================== Installing: shibboleth i386 2.4.2-2.1 security_shibboleth 1.3 M Installing for dependencies: libsaml7 i386 2.4.1-2.1 security_shibboleth 1.2 M libxmltooling5 i386 1.4.1-2.1 security_shibboleth 811 k log4shib i386 1.0.3-2.3 security_shibboleth 82 k opensaml-schemas i386 2.4.1-2.1 security_shibboleth 27 k unixODBC i386 2.2.11-7.1 core-0 832 k xmltooling-schemas i386 1.4.1-2.1 security_shibboleth 11 k Transaction Summary ====================================================================================================================== Install 7 Package(s) Upgrade 0 Package(s) Total download size: 4.3 M Is this ok [y/N]: y
Post install
demarrage automatique
# chkconfig shibd on # chkconfig --list | grep shibd shibd 0:off 1:off 2:on 3:on 4:on 5:on 6:off
native.log
[root@blog3 /var/log/httpd] $ touch native.log [root@blog3 /var/log/httpd] $ chown apache native.log
httpd.conf
$ diff httpd.conf httpd.conf.orig 275c275 < UseCanonicalName On --- > UseCanonicalName Off
test Status
Parametrer l'ACL dans /etc/shibboleth/shibboleth2.xml qui permet d'acceder a cet URL
<!-- Status reporting service. -->
<Handler type="Status" Location="/Status" acl="127.0.0.1 157.159.50.97"/>
Acces:
les metadata directement:
Parametrage shibboleth2.xml
le fichier /etc/shibboleth/shibboleth2.xml contient l'essentiel du paramétrage du service Prodider shibboleth. Sont représentés ici uniquement les parties modifiéed par rapport au fichier original, à savoir le service SSO, les messages d'erreur, et les Metadata.
SSO
Attention, depuis le version 2.4 l'élément SessionInitiator a été remplacé par l'élément SSO ! https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPServiceSSO
<ApplicationDefaults entityID="https://wp.it-sudparis.eu/shibboleth"
REMOTE_USER="eppn persistent-id targeted-id">
...
<!-- <SSO entityID="https://idp.example.org/shibboleth" -->
<SSO
discoveryProtocol="SAMLDS" discoveryURL="https://shibidp1.it-sudparis.eu/WAYFIT/WAYF.php">
SAML2 SAML1
</SSO>
error messages
<Errors supportContact="jehan.procaccia@it-sudparis.eu"
metadata="metadataError_fr.html"
access="accessError_fr.html"
ssl="sslError_fr.html"
localLogout="localLogout_fr.html"
globalLogout="globalLogout_fr.html"
logoLocation="/shibboleth-sp/logo.jpg"
styleSheet="/shibboleth-sp/main.css"/>
...
Metadata
<!-- Chains together all your metadata sources. -->
<MetadataProvider type="Chaining">
<!--
Federation IT />
-->
<MetadataProvider type="XML" uri="http://shibidp.it-sudparis.eu/metadata/metadata.itsp.xml"
backingFilePath="/etc/shibboleth/metadata.itsp.xml" reloadInterval="7200">
</MetadataProvider>
<!-- Meta-donné de la fération de test Ãucation-Recherche -->
<MetadataProvider type="XML" uri="https://services-federation.renater.fr/metadata/renater-test-metadata.xml"
backingFilePath="/etc/shibboleth/renater-test-metadata.xml" reloadInterval="7200">
<MetadataFilter type="RequireValidUntil" maxValidityInterval="2419200"/>
<MetadataFilter type="Signature" certificate="metadata-federation-renater.crt"/>
</MetadataProvider>
</MetadataProvider>
