基于SSO开源产品Shibboleth的安装
????????????????????????? Shibboleth Installation(Shibboleth安装)
?
?
??? Shibboleth包含几个单独的组件: the identity provider(IdP), service provider(SP), and discovery service(DS)。你可以根据自
己的需要选择部署一个或更多的组件。在开始之前需要理解以下几步:
1.在安装之前必须阅读并理解Shibboleth的文档以及工作流程的介绍。
2.如果在安装的过程中遇到了问题,请按照以下几点进行检查。
?? 1)? 参阅安装和配置文件。
?? 2)? 检查故障排除指南。
?? 3)? 检查用户的邮件列表归档,看看其他人有没有遇到同样的问题,解决办法是什么。
?? 4)? 从用户的邮件列表中寻求帮助。
3. 安装完毕后,你应该也可以订阅Shibboleth的公告,这是关于新版本的公告,更新旧版本至最新,与安全漏洞发布。
一、??? 准备安装环境
??? 准备安装环境所需要的域名:
???? 1.sp.machine为SP的域名,eg:? exm1.sea.sp.com
???? 2.idp.machine 为IDP的域名,eg: exm2.sea.idp.com
??? 我本地准备的SP和IDP的域名分别为exm1.sea.sp.com,exm2.sea.idp.com。在使用之前首先要在windows的C:\WINDOWS\system32\drivers\etc路径下的Hosts文件中配置以上域名的映射,配置如下:
??? 127.0.0.1?????? localhost
??? 127.0.0.1?????? exm1.sea.sp.com
??? 127.0.0.1?????? exm2.sea.idp.com
??? 准备安装所需的硬件设备(SP和IDP可以分别安装在不同的电脑或者安装在不同的虚拟机上,也可以安装在同一台计算机上!)。
???? 1)端口80和443需要被开放(保证没有其他程序在占用),注意防火墙对端口访问权限的问题。
???? 2)用RedHat环境是最简单的,这里我用的是windows,在安装的过程中基本是一样的。
???? 3)确保硬件环境的时钟设置是正确的。
二、??? IDP的安装
????? 1.下载安装JDK1.5+,Tomcat6.0.17+,Apache2.2+,并确保JAVA_HOME环境变量的正确设置,这里我用的是JDK1.6,Tomcat6.0.29, Apache 2.2。
???? 注:必须从http://httpd.apache.org/网站上下载包含SSL支持的Apache安装程序并安装。
????? 2.下载IDP组件,下载之后解压并将解压之后的目录移动到你所要安装的目标目录。
(IDP下载地址为:http://shibboleth.internet2.edu/downloads/shibboleth/idp/latest/,我下载的是shibboleth-identityprovider-2.2.0-bin.zip)
????? 3.运行install.sh (linux环境) 或者 install.bat (Windows环境),进行安装。
注意:在安装过程中需要输入的idp.home为IDP的安装目录,eg: D:\opt\shibboleth-idp,需要输入的idp.hostname为IDP的域名(最好不要用IP地址,要不然后续过程会有错误出现),eg:exm2.sea.idp.com。
????? 4.所需的配置
??? 将IDP_HOME/lib/endorsed下的所有包复制到TOMCAT_HOME/endorsed下,IDP_HOME和TOMCAT_HOME分别指IDP和TOMCAT的安装目录(如果TOMCAT根目录下没有endorsed文件夹则新建一个即可)。
????? 5. 支持SOAP端点
???????? 1)??? 下载tomcat6-dta-ssl-1.0.0.jar (asc)放到TOMCAT_HOME/lib/目录下。
???????? 2)??? 在TOMCAT_HOME/conf/server.xml中增加如下的配置:
<Connector port="8443"
?????????? protocol="org.apache.coyote.http11.Http11Protocol"
?????? SSLImplementation="edu.internet2.middleware.security.tomcat6.DelegateToApplicationJSSEImplementation"
?????????? scheme="https"
?????????? SSLEnabled="true"
?????????? clientAuth="true"
?????????? keystoreFile="IDP_HOME/credentials/idp.jks"
?????????? keystorePass="PASSWORD" />
????? 6.??? 用IDP的安装路径取代IDP_HOME。
????? 7.??? 在安装IDP过程中用到的密码替换掉PASSWORD。
????? 8.??? 部署IDP:
?????????? 1)创建TOMCAT_HOME/conf/Catalina/localhost/idp.xml文件并用以下代码替换其内容。
<Context docBase="IDP_HOME/war/idp.war"
???????? privileged="true"
???????? antiResourceLocking="false"
???????? antiJARLocking="false"
???????? unpackWAR="false"
???????? swallowOutput="true" />
?????????? 2)用IDP的安装路径取代IDP_HOME。
????? 9. 加入以下行至Apache的配置文件httpd.conf中:
???????? ProxyPass /idp/ ajp://localhost:8009/idp/
???? 10. 更改Tomcat的TOMCAT_HOME/conf/server.xml中的端口8009 AJP13连接器,我们将要增加???????? request.tomcatAuthentication="false"和Address="127.0.0.1"让Apache允许发送用户名信息到IDP。
??? <Connector port="8009"
??? enableLookups="false" redirectPort="8443" protocol="AJP/1.3"
??? request.tomcatAuthentication="false" address="127.0.0.1" />
???? 11. 在Apache的httpd.conf或ssl.conf配置文件中定义以下程序,强制身份验证的时候访问RemoteUser处理程序。
??? <Location /idp/Authn/RemoteUser>
?? ??? ??? AuthType Basic
??? ??? ??? AuthName "My Identity Provider"
??? ??? ??? AuthUserFile D:/opt/shibboleth-idp/credentials/user.db
??? ??? ??? require valid-user
??? </Location>
???? 12. 用htpasswd命令创建一个或两个测试用户
??? htpasswd -c D:/opt/shibboleth-idp/credentials/user.db myself
??? htpasswd命令为Apache工具命令必须在命令行下进入到Apache安装目录的bin目录下才可以执行,myself为用户名。
???? 13. 测试IDP是否安装成功:
???? 用https://localhost/idp/profile/Status访问,如果页面出现’ok’则说明安装正确。这并不意味着你将能够登录到任何东西,因为目前还尚未配置的IDP使用的组织的基础设施。
三、安装SP
Windows下安装
SP目前支持的windows操作系统有以下几个版本:
???? 1)Windows XP SP2 and Later
???? 2)Windows 2003 Server SP1 and Later
???? 3)Windows 2008 Server
1.安装Shibboleth
?? 1)下载后缀名为.msi的SP安装程序,下载网址为:
http://shibboleth.internet2.edu/downloads/shibboleth/cppsp/latest/
??? 2) 运行安装程序。安装程序将提示输入安装路径,更改默认的配置文件与Windows适当,并为您设置各种环境变量。默认的shibd服务也被安装。
2.基本配置
编辑Apache安装目录下的conf文件夹下的httpd.conf文件:
?? 1) 用Include指令将Shibboleth对应apache版本的配置文件包含至httpd.conf文件中(eg:在httpd.conf中添加
Include? D:/opt/shibboleth-sp/etc/shibboleth/apache22.config)。
?? 2) UseCanonicalName指令设置为on.(eg:UseCanonicalName On)。
?? 3) 确保ServerName指令设置正确(eg:ServerName exm1.sea.sp.com:80)。
配置Apache使其支持SSL协议,创建过程如下所示:
?创建SSL证书
??1) 打开cmd, cd到apache安装目录的bin目录
??2) 运行openssl
????openssl req -config ..\conf\openssl.cnf -new -out my-server.csr
(? 注意, my-server是自己起的名字, 以下步骤中提到my-server的也是自己起的名字) 这一步需要设置一系列的问题, 包括密码(这个密码要记住, 以后要用) 和其他的问题. 全部完成之后会生成一个my-server.csr和 privkey.pem 文件在bin文件夹中.)
??3) 运行
openssl rsa -in privkey.pem -out my-server.key
(此时要输入密码, 就是步骤2中设定的密码)
??4) 运行
openssl x509 -in my-server.csr -out my-server.cert -req -signkey my-server.key -days 4000
这将创建一个4000天后才过期的证书
??5)??? 运行
openssl x509 -in my-server.cert -out my-server.der.crt -outform DER
??6)??? 全部运行过后这些命令会在bin文件夹中生成6个文件:
???????.cnt
???????privkey.pem
???????my-server.der.crt
???????my-server.scr
???????my-server.key
???????my-server.cert
(将这些文件移到conf/ssl目录中(如果不存在这个目录就创建一个, 这个步骤中放到其他的目录也可以 关键是记住文件的位置, 在接下来的设置中会用到)
设置Apache支持SSL
??注意: 本设置步骤针对针对Apache 2.2.x版本, 如果正在使用的是Apache 2.0.x版本, 请摸索相似的设置.
在Apache的conf目录中用文本编辑器打开httpd.conf
??1)??? 去掉下面设置行前面的#
?????????LoadModule ssl_module modules/mod_ssl.so
??2)??? 去掉下面设置行前面的# (在2.0.x版本中没有这一项)
?????????Include conf/extra/httpd-ssl.conf
??3)??? 在Apache的conf/extra目录中打开httpd-ssl.conf, 更改如下设置.
??[apache安装目录]是指Apache的安装目录, 比如c:/Apache; my-server的两个文件就是前一个步骤制作的文件, 文件的位置就是这些文件在磁盘中的位置 (在2.0.x版本中这些设置仍然在 httpd.conf文件中进行)
???SSLMutex? default
??? SSLCertificateFile "[Apache安装目录]/conf/ssl/my-server.der.crt"
???SSLCertificateKeyFile "[Apache安装目录]/conf/ssl/my-server.key"
??? 测试
??? ??? ??? 1) 保存设置文件。
?? ??? ???? 2) 在开始菜单中运行Apache的Test Configuration工具, 检查设置文件是否正确。
??? ??? ??? 3) 重新启动Apache 2.2.x。
?? ??? ???? 4) 顺利启动之后, 在浏览器中输入 https://localhost? 看看是否可以访问, 如果可以访问, 则设置成功。
??? ???
????3. SP安装测试
??????用https://localhost/Shibboleth.sso/Status访问测试,如果测试成功,那么该软件为进一步的配置做好了基本的准备。
四、??? IDP and SP本地测试的基本配置
??? 我们需要配置IDP和SP相互间的交互,注意配置:
??? SP的配置文件在 /etc/shibboleth/ 目录下:
??? SP:shibboleth2.xml:
???1)? 改变<ApplicationDefaults>节点元素的entityID为
https://sp.machine/shibboleth,sp.machine为SP的域名。(Eg:https://exm1.sea.sp.com/shibboleth)
???2)? 改变<SessionInitiator Location="Login">节点元素的entityID为
https://idp.machine/idp/shibboleth,idp.machine为IDP的域名。(eg: https://exm2.sea.idp.com/idp/shibboleth)
???3)?? 取消对远程元数据例子<MetadataProvider>节点的注释,这里将要描述你的IDP到SP,改变这个uri指向http://idp.machine/idp/profile/Metadata/SAML,idp.machine为IDP的域名。
Eg: http://exm2.sea.idp.com/idp/profile/Metadata/SAML
???4)? 注解或删除掉类型为Signature的<MetadataFilter>节点,因为这个元数据没有被签名。
Eg:
????<MetadataProvider type="XML" uri="http://exm2.sea.idp.com/idp/profile/Metadata/SAML"
???????????????? backingFilePath="federation-metadata.xml" reloadInterval="7200">
???? <MetadataFilter??? ?type="RequireValidUntil" maxValidityInterval="2419200"/>(这个没有注解或删除的情况下会报:Unable to locate metadata for identity provider,不知道为什么,有待解决!)
</MetadataProvider>
??? IDP的配置文件在 IDP_HOME/conf 目录下:
??? IdP: relying-party.xml:
?????1) 取消掉从一个URL读取元数据MetadataProvider节点元素的注释,将该节点元素的metadataURL属性改为
http://sp.machine/Shibboleth.sso/Metadata。更高级的部署,你需要手工编辑元数据进行匹配。
?????2) 注释掉包含在MetadataProvider元素中的MetadataFilter节点元素,这个元数据是未签名的,所以这个过滤器可能会引起元数据加载失败!
Eg:改变之后的为:
???????<metadata:MetadataProvider? id="URLMD" xsi:type="metadata:FileBackedHTTPMetadataProvider"
????????????????????????? metadataURL="http://exm1.sea.sp.com/Shibboleth.sso/Metadata"
????????????????????????? backingFile="D:/opt/shibboleth-idp/metadata/some-metadata.xml">
??????? </metadata:MetadataProvider>
??? 登陆测试:
用浏览器访问https://sp-machine/secure进行测试. 注意:别忘了https
