Authenticatie en Autorisatie Infrastructuur

Authenticatie en Autorisatie Infrastructuur Shibboleth Service Provider 20 juni 2007

Philip Brusten

Overzicht Shibboleth Standard Base Installatie Verschillende componenten Probleemoplossing Referenties

Shibboleth Standard Base

Inhoud

Variabele

Linux

Variabele

SSL certificaten

$SSLDIR

/etc/pki

c:\pki

Shibboleth configuratie

$SHIBDIR

/etc/shibboleth

c:\shib-sp\etc

Shibboleth logging

$SHIBLOG

/var/log/shibboleth c:\shib-sp\var\log

Webserver logging

$WEBLOG

/var/log/apache2

c:\shib-sp\var\log


Installatie Verschillende besturingssystemen

Linux Mac OS X Solaris Windows Building Shibboleth

Linux Maak gebruik van pakketten!

RedHat RPMs beschikbaar

Debian Pakketten in officiële apt repository

Ubuntu Pakketten in officiële apt repository Alle pakketten hebben een afhankelijkheid naar het apache 2.x pakket van de officiële distributie

Linux: RedHat

Sinds versie 3.2 Haal de RPMS af van de officiële site van Shibboleth root# cd /usr/src/redhat/RPMS/i386 root# wget -r -A.rpm http://shibboleth.internet2.edu/downloads/RPMS/i386/RHE/version

Installeer de RPMS root# rpm -ivh *.rpm

Linux: Debian Debian Sarge (3.1): Testing distribution Debian Etch (4.0): Stable distribution Verander de apt repository naar testing indien nodig Installeer de Shibboleth Service provider root# apt-get update root# apt-get install lipapache2-mod-shib ... The following NEW packages will be installed libapache2-mod-shib libcurl3 libicu36 liblog4cpp4 libmysqlclient15off libsaml5 libshib-target5 libshib6 libxalan110 libxerces27 libxml-security-c12 mysql-common 0 upgraded, 12 newly installed, 0 to remove and 0 not upgraded.

Linux: Ubuntu

Sinds Ubuntu feisty in universe repository Verander de apt repository naar universe indien nodig Installeer de Shibboleth Service Provider user# sudo apt-get update user# sudo apt-get install lipapache2-mod-shib ... The following NEW packages will be installed libapache2-mod-shib libcurl3 libicu36 liblog4cpp4 libmysqlclient15off libsaml5 libshib-target5 libshib6 libxalan110 libxerces27 libxml-security-c12 mysql-common 0 upgraded, 12 newly installed, 0 to remove and 0 not upgraded.

Windows Vereiste Apache 1.3.x, Apache2.x of IIS6 MSI pakket

Zelf compileren In uiterste nood...

Linux SRPMs hercompileren 1 Debian source pakketten hercompileren Van source compileren 2

Windows Visual Studio 2005 3

1 http://shib.kuleuven.be/docs/sp/build-rpms.shtml 2 https://spaces.internet2.edu/display/SHIB/LinuxNotes 3 https://spaces.internet2.edu/display/SHIB/WindowsNotes


Verschillende componenten Overzicht Apache

Shibboleth daemon/service

Shibboleth handler /Shibboleth.sso

ISAPI filter Shibboleth Trust

RPC port 1600

RPC port 1600

...

AAP


mod_ssl

Autorisatie

mod_shib

Autorisatie

mod_auth

IIS

Trust SSL certificaten Webservers ✔ Beschermen van sessie Shibboleth ✔ Beveiligde callback naar Identity Provider

Shibboleth Metadata Vertrouwen van verschillende CA's Lijst van vertrouwde Identity Providers

Trust

Trust

Trust

SSL certificaten Installeer OpenSSL ✔ Linux: pakket uit distributie ✔ Windows:

binary 1

Genereer private key en certificate signing request ✔ Uitgebreide procedure, zie Belnet 2

1 http://www.slproweb.com/products/Win32OpenSSL.html 2 https://certificates.belnet.be/index.php?module=pagemaster&PAGE_user_op=view_page&PAGE_id=7

Trust

Trust

SSL certificaten (vervolg) Installeer certificaat en private key ✔ Apache: rechtstreeks ✔ IIS:

certificaat en private key exporteren naar pkcs12 en vervolgens importeren in IIS –

Zie ook website van Belnet

✔ Shibboleth

($SHIBDIR/shibboleth.xml)

<Path>$SSLDIR/sp.example.be.key <Path>$SSLDIR/sp.example.be.crt

Trust

Trust

Shibboleth metadata Aan de kant van de Service Provider ✔ Lijst van CA's (GlobalSign Server Sign, Cybertrust Educational CA, ...) ✔ Lijst –

–

van Identity Providers

(zeer) Statische bestand met alle leden van de Associatie K.U.Leuven 1 $SHIBDIR/shibboleth.xml

<MetadataProvider type="edu.internet2.middleware.shibboleth.metadata.provider.XMLMetadata" uri="$SHIBDIR/metadata.xml"/>

1 http://shib.kuleuven.be/download/metadata/sp/metadata.xml

Trust

Trust

Aan de kant van de Identity Provider ✔ Lijst van CA's (GlobalSign Server Sign, Cybertrust Educational CA, ...) ✔ Lijst –

–

–

van Service Providers

metadata-kulassoc-sp.xml 1 ● Gemeenschappelijke toepassingen metadata-YOUR_FEDERATION-sp.xml 2 ● YOUR_FEDERATION specifieke toepassingen metadata-YOUR_FEDERATION2-sp.xml 2 ● YOUR_FEDERATION2 specifieke toepassingen

1 http://shib.kuleuven.be/download/metadata/idp/metadata-kulassoc-sp.xml 2 http://shib.kuleuven.be/download/metadata/idp/metadata-YOUR_FEDERATION-sp.xml





RPC port 1600

RPC port 1600

...

AAP


mod_ssl

Autorisatie

mod_shib

Autorisatie

mod_auth

IIS

Attribute Acceptance Policy

AAP

Filter voor inkomende attributen Vertaalslag van attribuut naar omgevingsvariabele en alias Omgevingsvariabele nadien bruikbaar als header in de toepassing Alias bruikbaar voor Autorisatie, zie verder

Zeer statisch bestand. 1 Moet zelden iets aan worden veranderd.

1 http://shib.kuleuven.be/download/sp/1.3/AAP.xml

Attribute Acceptance Policy Voorbeeld AAP.xml

AAP

1

^[^@]+$

1 http://shib.kuleuven.be/download/sp/1.3/AAP.xml





RPC port 1600

RPC port 1600

...

AAP


mod_ssl

Autorisatie

mod_shib

Autorisatie

mod_auth

IIS

Autorisatie

Autorisatie

Afschermen van statische pagina's Apache ✔ .htaccess ✔ globale

configuratie

✔ Shibboleth

daemon/service voor gecombineerde toegangsregels

IIS ✔ Shibboleth

service

Dynamische pagina's In de toepassing (adhv programmeertaal)

Autorisatie

Autorisatie

Apache .htaccess globale configuratie

Shibboleth daemon/service ($SHIBDIR/shibboleth.xml) inline via een gelinkt extern bestand

In de toepassing (adhv programmeertaal)

Autorisatie

Autorisatie

Apache require syntax 1 require valid-user user ... group ... ... shibboleth

⇒ ⇒ ⇒ ⇒ ⇒

elke geauthenticeerde gebruiker REMOTE_USER zie AuthGroupFile elke “alias” uit AAP.xml “LazySessions”, zie later

1 http://aai.kuleuven.be/shibboleth/doc/acl

Autorisatie

Autorisatie

Voorbeelden AuthType shibboleth ShibRequireSession On require valid-user

AuthType shibboleth ShibRequireSession On require givenName Philip

AuthType shibboleth ShibRequireSession On require user [email protected] AuthType shibboleth ShibRequireSession On require eduPersonAffiliation member require eduPersonAffiliation student ShibRequireAll On

AuthType shibboleth ShibRequireSession On AuthGroupFile .htgroups require group admins

.htgroups : admins: [email protected] admins: [email protected] admins: [email protected]

Autorisatie

Autorisatie

Shibboleth daemon/service voor gecombineerde toegangsregels of IIS <Path name="secure" authType="shibboleth" requireSession="true"> [email protected] [email protected] urn:mace:kuleuven.be:entitlement:sp.example.be

Autorisatie

Autorisatie

in extern bestand STERK AF TE RADEN! Syntax foutje haalt webserver onderuit!

Meer informatie over autorisatie, zie wiki

1 https://spaces.internet2.edu/display/SHIB/SPProtectionConfig

1

Autorisatie

Autorisatie In de toepassing adhv request headers HTTP_SHIB_APPLICATION_ID HTTP_SHIB_IDENTITY_PROVIDER HTTP_SHIB_PERSON_UID HTTP_SHIB_PERSON_COMMONNAME HTTP_SHIB_PERSON_MAIL HTTP_SHIB_PERSON_TELEPHONENUMBER REMOTE_USER HTTP_SHIB_EP_SCOPEDAFFILIATION

: : : : : : : :

allAttributes urn:mace:kuleuven.be:kulassoc:kuleuven.be u0049933 Philip Brusten [email protected] +32 16 320559 [email protected] [email protected]; [email protected]; [email protected] HTTP_SHIB_EP_UNSCOPEDAFFILITATION : staff;employee;member HTTP_SHIB_EP_ENTITLEMENT : urn:mace:kuleuven.be:entitlement:toledo; urn:mace:kuleuven.be:entitlement:kuloket HTTP_SHIB_KUL_OUNUMBER : 50649782;50649776;50000854 HTTP_SHIB_KUL_PRIMOUNUMBER : 50649782 HTTP_SHIB_LOGOUTURL : https://idp.kuleuven.be/shibboleth-idp/logout.jsp

AAP

Autorisatie

Autorisatie

Opvraagbaar in elke programmeertaal: php asp ssi jsp cfm perl ...

Voorbeeld scripts: http://aai.kuleuven.be/shibboleth/doc http://shib.kuleuven.be/download/sp/test_scripts





RPC port 1600

RPC port 1600

...

AAP


mod_ssl

Autorisatie

mod_shib

Autorisatie

mod_auth

IIS

Shibboleth handler


Functies die via een URL de Shibboleth Service Provider software aanspreken SessionInitiator LazySessions Logout

Shibboleth handler Session Initiator


Standaard vertrekpunt voor de authenticatie <SessionInitiator id="kulassoc" isDefault="true" Location="/WAYF/kulassoc" Binding="urn:mace:shibboleth:sp:1.3:SessionInit" wayfURL="https://wayf.associatie.kuleuven.be/shibboleth-wayf/WAYF" wayfBinding="urn:mace:shibboleth:1.0:profiles:AuthnRequest"/>

Dynamisch vertrekpunt voor de authenticatie <SessionInitiator id="khlim" isDefault="false" Location="/WAYF/khlim" Binding="urn:mace:shibboleth:sp:1.3:SessionInit" wayfURL="https://idp.khlim.be/shibboleth-idp/SSO" wayfBinding="urn:mace:shibboleth:1.0:profiles:AuthnRequest"/>

Shibboleth handler LazySessions


De toepassing beslist wanneer de gebruiker zich moet authenticeren: Vereisten ✔ Apache AuthType shibboleth ShibRequireSession Off require shibboleth

✔ shibboleth.xml ... <Path name="secure" authType="shibboleth" requireSession="false"> ...



Benodigdheden ✔ handler URL –

Standaard: “/Shibboleth.sso”

✔ SessionInitiator –

vb: “/WAYF/khlim”

✔ Target –

De toepassing waar je de gebruiker wil naar toe sturen na de authenticatie (meestal de toepassing zelf) vb: “https://sp.example.be”

Voorbeeld URL https://sp.example.be/Shibboleth.sso/WAYF/khlim?target=https://sp.example.be



Opgelet! ✔ Elke request moet door de Shibboleth module/filter gaan. Attributen die gespoofed worden, worden eerst gewist. ✔ Indien

de module/filter wordt omzeild, kan men headers spoofen.

Shibboleth handler


Logout Zie presentatie Logout feature

1

1 http://shib.kuleuven.be/docs/sp/shibboleth-sp-logout-feature-v1.2.pdf


Probleemoplossing Logging Certificaten NTP

Logging Shibboleth daemon/service $SHIBDIR/shibd.logger ✔ van INFO naar DEBUG $SHIBLOG/shibd.log

Shibboleth module/filter $SHIBDIR/native.logger ✔ van INFO naar DEBUG $WEBLOG/native.logger

Certificaten Nog geldig? root# openssl x509 -in $SSLDIR/sp.example.be.crt -enddate -noout notAfter=Feb 15 10:47:05 2010 GMT

Callback naar IdP nog mogelijk? root# telnet idp.khleuven.be 8443 Trying 193.190.138.31... Connected to idp.khleuven.be. root#

openssl s_client -connect idp.khleuven.be:8443 -cert sp.example.be.crt -key sp.example.be.key -CAfile cybertrustchain.pem

... Verify return code: 0 (ok)

NTP Wordt de tijd gesynchroniseerd met een ntp server? Clockskew van max 3 minuten toegestaan

UDP connectie mogelijk naar ntp server op poort 123?


Referenties K.U.Leuven SP documentatie http://shib.kuleuven.be/docs/sp/

Documentatie voor een webbeheerder http://aai.kuleuven.be/shibboleth/doc/

Officiële Shibboleth project site http://shibboleth.internet2.edu/

Shibboleth support wiki https://spaces.internet2.edu/display/SHIB/WebHome

shibboleth-users mailinglist archief https://mail.internet2.edu/wws/arc/shibboleth-users

Zijn er nog vragen

?

Authenticatie en Autorisatie Infrastructuur

Recommend Documents