MetadataLegacy2024: differenze tra le versioni
Vai alla navigazione
Vai alla ricerca
Nessun oggetto della modifica |
Nessun oggetto della modifica |
||
| Riga 26: | Riga 26: | ||
#*MD5: eseguire il comando: <code>openssl x509 -in /opt/shibboleth-idp/credentials/idem-signer-legacy.pem -fingerprint -md5 -noout</code> deve restituire: <code>MD5 Fingerprint=7A:30:52:E2:2D:A5:F9:46:9A:7A:38:47:51:82:81:C2</code> | #*MD5: eseguire il comando: <code>openssl x509 -in /opt/shibboleth-idp/credentials/idem-signer-legacy.pem -fingerprint -md5 -noout</code> deve restituire: <code>MD5 Fingerprint=7A:30:52:E2:2D:A5:F9:46:9A:7A:38:47:51:82:81:C2</code> | ||
#Modifica la configurazione: | #Modifica la configurazione: | ||
#*configurare certificato e flusso di metadata desiderato in <code>/opt/shibboleth-idp/conf/metadata-providers.xml,</code> ad es. per il flusso '''IDEM Test''': | #*configurare certificato e flusso di metadata desiderato in <code>/opt/shibboleth-idp/conf/metadata-providers.xml,</code> ad es. per il flusso '''IDEM Test''':<syntaxhighlight lang="xml"> | ||
<MetadataProvider id="URLMD-IDEM-Federation" | <MetadataProvider id="URLMD-IDEM-Federation" | ||
xsi:type="FileBackedHTTPMetadataProvider" | xsi:type="FileBackedHTTPMetadataProvider" | ||
| Riga 33: | Riga 32: | ||
metadataURL="http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml"> | metadataURL="http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml"> | ||
<MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" | <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" | ||
certificateFile="%{idp.home}/credentials/idem-signer- | certificateFile="%{idp.home}/credentials/idem-signer-legacy.pem"/> | ||
<MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P10D"/> | <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P10D"/> | ||
<MetadataFilter xsi:type="EntityRole"> | <MetadataFilter xsi:type="EntityRole"> | ||
| Riga 40: | Riga 39: | ||
</MetadataProvider> | </MetadataProvider> | ||
</syntaxhighlight> | </syntaxhighlight> | ||
#* | #*Verificare il funzionamento con: <code>bash /opt/shibboleth-idp/bin/reload-service.sh -id shibboleth.MetadataResolverService<code> | ||
SimpleSAMLphp | SimpleSAMLphp | ||
Versione delle 11:39, 29 ott 2024
Se usate MDX non leggete
SSP:
- se mdq: nessun cambiamento
- se aggregato:
- soluzione migliore: usare certificato, lo possono usare fin da subito, VA COMUNICATO IL NUOVO CERTIFICATO
- soluzione peggiore: modificare fingerprint il 18/11, VA COMUNICATA LA NUOVA FINGERPRINT
Shibboleth:
- nessun cambiamento necessario
Tutti gli altri: ADFS Toolkit, SaToSa, ecc.
- consigliamo di utilizzare il nuovo certificato fin da subito
- https://md.idem.garr.it/certs/idem-signer-legacy.pem
- https://md.idem.garr.it/certs/idem-signer-legacy.pem
Shibboleth:
- Recupera il certificato della Federazione:
wget https://md.idem.garr.it/certs/idem-signer-legacy.pem -O /opt/shibboleth-idp/credentials/idem-signer-legacy.pem
- Controllare la validità del certificato:
- SHA1: eseguire il comando:
openssl x509 -in /opt/shibboleth-idp/credentials/idem-signer-legacy.pem -fingerprint -sha1 -nooutdeve restituire:SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7 - MD5: eseguire il comando:
openssl x509 -in /opt/shibboleth-idp/credentials/idem-signer-legacy.pem -fingerprint -md5 -nooutdeve restituire:MD5 Fingerprint=7A:30:52:E2:2D:A5:F9:46:9A:7A:38:47:51:82:81:C2
- SHA1: eseguire il comando:
- Modifica la configurazione:
- configurare certificato e flusso di metadata desiderato in
/opt/shibboleth-idp/conf/metadata-providers.xml,ad es. per il flusso IDEM Test:<MetadataProvider id="URLMD-IDEM-Federation" xsi:type="FileBackedHTTPMetadataProvider" backingFile="%{idp.home}/metadata/idem-test-metadata-sha256.xml" metadataURL="http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml"> <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true" certificateFile="%{idp.home}/credentials/idem-signer-legacy.pem"/> <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P10D"/> <MetadataFilter xsi:type="EntityRole"> <RetainedRole>md:SPSSODescriptor</RetainedRole> </MetadataFilter> </MetadataProvider>
- Verificare il funzionamento con:
bash /opt/shibboleth-idp/bin/reload-service.sh -id shibboleth.MetadataResolverService
- configurare certificato e flusso di metadata desiderato in
SimpleSAMLphp
- Recupera il certificato della Federazione:
wget https://md.idem.garr.it/certs/idem-signer-legacy.pem -O /var/simplesamlphp/cert/idem-signer-legacy.pem
- Controllare la validità del certificato:
- SHA1: eseguire il comando:
openssl x509 -in /var/simplesamlphp/cert/idem-signer-legacy.pem -fingerprint -sha1 -noout deve restituire: SHA1 Fingerprint=E7:EA:EC:1E:46:CB:41:F0:9B:79:C9:2D:05:81:1A:63:B6:3B:C8:E7
- MD5: eseguire il comando:
openssl x509 -in /var/simplesamlphp/cert/idem-signer-legacy.pem -fingerprint -md5 -noout deve restituire: MD5 Fingerprint=7A:30:52:E2:2D:A5:F9:46:9A:7A:38:47:51:82:81:C2
- Modifica la configurazione:
- configurare certificato e flusso di metadata desiderato in
/var/simplesamlphp/config/config-metarefresh.php, ad es. per il flusso IDEM Test:<?php
$config = [
'sets' => [
'idem' => [
'cron' => ['hourly'],
'sources' => [
[
'src' => 'http://md.idem.garr.it/metadata/idem-test-metadata-sha256.xml',
'certificates' => [
'/var/simplesamlphp/cert/idem-signer-legacy.pem',
],
'template' => [
'tags' => ['idem'],
'authproc' => [
51 => ['class' => 'core:AttributeMap', 'oid2name'],
],
],
'types' => ['saml20-sp-remote'], // Load only SAML v2.0 SP from metadata
],
],
'expireAfter' => 864000, // Maximum 10 days cache time (3600*24*10)
'outputDir' => 'metadata/',
'outputFormat' => 'flatfile',
],
],
];
- Aprire la pagina https://ssp-idp.example.org/simplesaml/module.php/core/frontpage_federation.php e forzare il download dei metadata di Federazione premendo su
Metarefresh: fetch metadata o aspettare 1 giorno (Sostituire ssp-idp.example.org il proprio IdP Full Qualified Domain Name)