Neuladen der Logging-Konfiguration: curl https://idp.local/idp/profile/admin/reload-service?id=shibboleth.LoggingService curl -k -v "https://127.0.0.1:443/idp/profile/admin/reload-service?id=shibboleth.LoggingService" XML Duration Data Type: https://www.w3schools.com/xml/schema_dtypes_date.asp Ausführliche Logback Doku: https://logback.qos.ch/documentation.html ${idp.logfiles}/idp-webflow.log ${idp.logfiles}/idp-webflow-%d{yyyy-MM-dd}.log.gz ${idp.loghistory:-180} UTF-8 %msg%n Neuladen der Logging-Konfiguration: curl https://idp.local/idp/profile/admin/reload-service?id=shibboleth.LoggingService curl -k -v "https://127.0.0.1:443/idp/profile/admin/reload-service?id=shibboleth.LoggingService" XML Duration Data Type: https://www.w3schools.com/xml/schema_dtypes_date.asp Ausführliche Logback Doku: https://logback.qos.ch/documentation.html ${idp.logfiles}/idp-webflow.log ${idp.logfiles}/idp-webflow-%d{yyyy-MM-dd}.log.gz ${idp.loghistory:-180} UTF-8 %msg%n Logout am Test-SP: https://sp1.local/Shibboleth.sso/Logout Appender muss VOR dem Logger definiert werden !! Spring Tool Suite: http://spring.io/tools ----------------- aus /opt/shibboleth-idp/conf/intercept/intercept-events-flow.xml Die Folie ${idp.home}/conf/intercept/profile-intercept.xml ${idp.home}/conf/intercept/intercept-events-flow.xml ${idp.home}/conf/errors.xml Flow-Definition unter ${idp.home}/flows/ z.B. für intercept/inbound-test Ordner ${idp.home}/flows/intercept/inbound-test/ anlegen und Flow-Definition speichern in Benötigte Views in ${idp.home}/views/ Logout am Test-SP: https://sp1.local/Shibboleth.sso/Logout Appender muss VOR dem Logger definiert werden !! Spring Tool Suite: http://spring.io/tools ----------------- ${idp.home}/conf/intercept/profile-intercept.xml ${idp.home}/conf/intercept/intercept-events-flow.xml ${idp.home}/conf/errors.xml in ${idp.home}/flows/intercept/inbound-test/test-flow.xml in relying-party.xml ${idp.home}/views/intercept/abort-privacy-notice.vm Datenschutzbestimmung nicht akzeptiert. Du bist sehr sehr schlau, kannst aber auch unser Login und blödsinnigen Anwendungen nicht nutzen. ${idp.home}/views/intercept/privacy-notice.vm Das hier ist eine ganz besondere Datenschutzbestimmung der Trotteluni. Erst wenn du diese akzeptierst, dann kannst du das zentrale Login benutzen. Willst du das WIRKLICH?
confirm via url ${idp.home}/views/intercept/welcome.vm Toll, dass wir zukünftig mit deinen Daten machen können, was wir wollen. Klicke auf den Button oder Link und du kommst zur Login-Seite ...
zum Login https://idp.local/idp/profile/admin/reload-service?id=shibboleth.RelyingPartyResolverService* 1. https://box.fu-berlin.de/s/ExKAkeZ76bZNwAj SPNEGO: https://www.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt66/BT66_AAI_Shib-Kerberos_Schreiterer.pdf OpenID Connect: Wolfgang Pempes Vortragsfolien von 2016: https://www.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt65/BT65_AAI_OpenID_Pempe.pdf Shib IdP und keepalived (Vortrag Th. Michels, BT65): https://www.dfn.de/fileadmin/3Beratung/Betriebstagungen/bt65/BT65_AAI_IdP_Keepalive_Michels.pdf PostgreSQL Clustering mit Patroni und VIP-Manager: https://github.com/zalando/patroni https://github.com/cybertec-postgresql/vip-manager Konsenz erfolgt über einen distributed Key/Value store. etcd/Consul/zookeeper https://wiki.shibboleth.net/confluence/display/IDP30/SubjectCanonicalization Übungsaufgabe: Das gesamte Logging auf Debug stellen. Den Benutzer "pingel" in unterschiedlichen Schreibweisen eingeben: pINgel PINgel etc. Wo erscheint überall diese Schreibweise im Log? Den Benutzernamen per Regel komplett groß schreiben. Aus dem Benutzernamen "pingel" per Transformation "adler" generieren und prüfen, welche Daten geholt werden. Hilfreiche Aufrufe nach Konfiguration: curl https://idp.local/idp/profile/admin/reload-service?id=shibboleth.LoggingService 1. MFA Mit IP ADresse: MFA Flow in idp.properties aktivieren: > idp.authn.flows= MFA mfa-authn-config.xml sieht bereits IP als ersten Faktor vor. In ipaddress-authn-config.xml die Komentare um das entry Mapping entfernen. "key" muss dabei auf den User mappen der sich auch anmeldet (der passende 2. Faktor) die IP Range muss die IP enthalten von der der User sich einloggt. 1.