Shibboleth IDP3 + SP + jetty9 + nginx sobre Debian

Objectiu:

Fa uns anys vaig fer una sèrie d’entrades sobre com instal·lar Shibboleth 2.x. Això ha quedat una mica desfasat i, a la vegada, els protocols han evolucionat. La idea d’aquesta entrada és actualitzar el procediment d’instal·lació de la versió 3.x de l’IDP de Shibboleth i disposar d’un SP que autentiqui via IDP + LDAP i obtingui atributs de l’IDP.

Procediment:

El procediment no és senzill i hi ha moltes coses que poden anar, i segur que aniran, malament. A la vegada, ara que no ens llegeixen els de Shibboleth… no he vist mai documentació més feixuga i pesada de seguir. La veritat és que no sé quin és el seu usuari tipus, però si no es disposa de tres doctorats i dos màsters es fa molt difícil seguir el que ells consideren un howto bàsic. Dit això, preparem-nos per embrutar-nos i som-hi…

Continua llegint

nginx amb rtmp amb autenticació d’usuari

Objectiu:

Volem disposar d’un servidor d’streaming que accepti el protocol RTMP. A més volem poder autenticar d’alguna manera els usuaris per a permetre la reproducció o no.

Procediment:

Per dur a terme la tasca utilitzarem nginx i el compilarem amb el mòdul nginx-rtmp-module. Com sempre, utilitzarem el sistema operatiu Debian, en aquest cas la versió 7 (Wheezy).

Continua llegint

Shibboleth IDP 2.4 amb Debian Wheezy (amb SSL offloading via nginx)

Objectiu:

L’objectiu d’aquesta entrada és disposar d’una màquina que executi el servei de proveïdor d’identitat (en endavant idp) Shibboleth versió 2.4 fent l’SSL offloading des d’un servei nginx. Aquesta màquina serà l’encarregada d’autenticar els usuaris dels diferents serveis web de la nostra organització tot proporcionant un entorn d’entrada única (Single Sign On) a la vegada que subministrarà els atributs que aquestes aplicacions web requereixin. L’autenticació i l’obtenció dels atributs es duran a terme mitjançant un directori LDAP.

En una entrada anterior es va configurar l’idp darrere un apache2 que utilitzava AJP. En aquesta entrada, bàsicament, substituirem apache2 per nginx fins on sigui possible.

Continua llegint

Shibboleth SP amb Debian Wheezy 7.1

Objectiu:

L’objectiu d’aquesta entrada és disposar d’una màquina que executi un servei web, mitjançant apache2, on protegirem un directori mitjançant autenticació shibboleth. A aquesta màquina l’anomenarem d’ara en endavant sp. Per dur a terme aquesta tasca serà necessari disposar d’un idp que s’encarregui de l’autenticació. En aquest bloc existeix un pas a pas sobre com configurar-lo aquí. Un cop assolit el nostre objectiu podem escalar aquesta configuració a tots aquells serveis web que desitgin compartir l’autenticació en l’entorn SSO.

Requeriments previs:

El sistema operatiu que utilitzarem és Debian Wheezy versió 7.1. La instal·lació del sistema operatiu no es detallarà. Existeix una guia per a Debian Lenny 5.0 en aquest bloc que es pot utilitzar sense massa complicacions, ja que el procés d’instal·lació és gairebé calcat.

L’sp l’instal·larem com a mòdul d’apache2.

A la vegada serà necessari disposar d’algun sistema de resolució de noms, ja sigui mitjançant un servidor DNS (com ara bind) o bé mitjançant l’arxiu /etc/hosts en cada màquina on treballem. Tal i com s’indica en aquesta entrada el nom de la màquina on s’allotjarà l’sp serà sp.domain.org, alhora, com s’especificava en l’entrada anterior, el nom del proveïdor d’identitat és idp.domain.org.

Continua llegint

Shibboleth IDP 2.4 amb Debian Wheezy 7.1

Objectiu:

L’objectiu d’aquesta entrada és disposar d’una màquina que executi el servei de proveïdor d’identitat (en endavant idp) Shibboleth versió 2.4. Aquesta màquina serà l’encarregada d’autenticar els usuaris dels diferents serveis web de la nostra organització tot proporcionant un entorn d’entrada única (Single Sign On) a la vegada que subministrarà els atributs que aquestes aplicacions web requereixin.

L’autenticació i l’obtenció dels atributs es duran a terme mitjançant un directori LDAP.

Aquesta entrada està altament basada en les configuracions que SWITCH té per a la seva federació (https://www.switch.ch/aai/docs/shibboleth/SWITCH/latest/idp/deployment). Tot i així el document de SWITCH està basat en un entorn ja muntat al que s’han d’afegir la resta d’organitzacions. El nostre objectiu és desplegar l’entorn de Single Sign On en un entorn local i des de zero.

Requeriments previs:

El sistema operatiu que utilitzarem és Debian Wheezy versió 7.1. La instal·lació del sistema operatiu no es detallarà. Existeix una guia per a Debian Lenny 5.0 en aquest bloc que es pot utilitzar sense massa complicacions, ja que el procés d’instal·lació és gairebé calcat.

Per allotjar l’idp utilitzarem tomcat6 disponible als repositoris de Debian. S’utilitzarà també apache2 com a proxy_ajp i com a proveïdor de seguretat SSL.

A la vegada serà necessari disposar d’algun sistema de resolució de noms, ja sigui mitjançant un servidor DNS (com ara bind) o bé mitjançant l’arxiu /etc/hosts en cada màquina on treballem. Tal i com s’indica en aquesta entrada el nom de la màquina on s’allotjarà l’idp serà idp.domain.org, alhora, per la propera entrada, el nom del proveïdor de serveis serà sp.domain.org.

Continua llegint