[原] Shibboleth 2.0 Identity Provider (IdP) LDAP认证配置指南

首先佩服老外:1)把简单的东西搞得很复杂 2)很会创造标准和协议
这次遇到的Shibboleth就是这么个东西,看了两天英文,对人为复杂、创造协议痛恨中。简单写个配置指南,给其他人做个参考,少走弯路。

注意:
1) 系统时间必须设置正确
2) apache 需要 mod_ssl mod_proxy_ajp,假设安装在 /etc/httpd
3) 必须使用 tomcat-5.5.x+,假设安装在 /opt/apache-tomcat-5.5.26
4) 如果需要改变安装目录重新安装,必须退到解压那步(否则很多和目录有关的代码不会重新编译,导致严重错误–啊!我整整一天的痛苦啊!)

# 取消tomcat的AJP身份认证
vi /opt/apache-tomcat-5.5.26/conf/server.xml
# 找到 Define an AJP 1.3 Connector 那,初始为:

# 修改为(端口改变没有特殊目的,只是我系统上跑了好几个tomcat,防止冲突):

# apache httpd 配置AJP反向代理
vi /etc/httpd/conf.d/proxy_ajp.conf
# 添加:
LoadModule proxy_ajp_module modules/mod_proxy_ajp.so
ProxyPass /idp/ ajp://localhost:8019/idp/

# 安装Shibboleth 2.0 Identity Provider (IdP)
unzip shibboleth-idp-2.0.0-bin.zip
cd identityprovider
cp endorsed/*.jar /opt/apache-tomcat-5.5.26/common/endorsed/
sh ant.sh install
# 提示是否新安装,yes
# 提示选择安装目录,/opt/idp
# 提示hostname,根据实际填写
# 提示加密密匙,随便写

# 部署war
vi /opt/apache-tomcat-5.5.26/conf/Catalina/localhost/idp.xml
# 内容:

# 测试:应该能看到“ok”
httpd -k restart
links http://127.0.0.1/idp/profile/Status

# 配置用户名/密码认证方式
vi /opt/idp/conf/handler.xml
# 找到 Login Handlers 那,注释掉”RemoteUser”认证方式,启用UsernamePassword方式。修改为:

# 配置LDAP连接方式
vi /opt/idp/conf/login.config

# 配置SP(关键!加入SP的Metadata描述)
vi /opt/idp/conf/relying-party.xml
# 找到 MetadataProvider 那,注意修改id和backingFile要不同
# 假设某通过apache模块工作的SP位于 http://bianbian.org/

# 配置传递属性,这跟每个SP有关,要与SP联合配置

[原] Shibboleth 2.0 Identity Provider (IdP) LDAP认证配置指南》有4个想法

  1. zhaochangxin

    配置传递属性,有如下错误,请教?
    2011-04-14 15:24:16 WARN Shibboleth.ISAPI [3540] isapi_shib: rule requires attribute (uid), not found in session

    IDP的attribute-resolver.xml内容如下:






    IDP的attribute-filter.xml 内容如下:

    SP的shibboleth2.xml文件中添加了如下内容:
    AccessControl> user3 user5

    请问是这样配置的吗?应该怎么做?还望不吝赐教。

发表评论