Shibboleth IDP3 + SP + jetty9 + nginx sobre Debian

Objectiu:

Fa uns anys vaig fer una sèrie d’entrades sobre com instal·lar Shibboleth 2.x. Això ha quedat una mica desfasat i, a la vegada, els protocols han evolucionat. La idea d’aquesta entrada és actualitzar el procediment d’instal·lació de la versió 3.6 de l’IDP de Shibboleth i disposar d’un SP que autentiqui via IDP + LDAP i obtingui atributs de l’IDP.

Procediment:

El procediment no és senzill i hi ha moltes coses que poden anar malament. A la vegada, ara que no ens entenen els de Shibboleth… no he vist mai documentació més feixuga i pesada de seguir. La veritat és que no sé quin és el seu usuari tipus, però si no es disposa de tres doctorats i dos màsters es fa molt difícil seguir el que ells consideren un howto bàsic. Dit això, preparem-nos per embrutar-nos i som-hi…

Continua llegint

Autenticar aplicacions de correu web via Shibboleth

Objectiu:

Aplicacions de correu web com ara RoundCube o Horde autentiquen els usuaris mitjançant una pàgina típica però, després, utilitzen les credencials subministrades constantment amb els servidors IMAP, CardDAV i/o CalDAV. Si autentiquem l’usuari mitjançant Shibboleth en aquestes aplicacions no es disposarà de la contrasenya per accedir als serveis dels que depenen.

El que aquesta entrada explica és com subministrar la contrasenya com a atribut entre l’idp i l’sp. És important notar que aquesta configuració només s’hauria d’aplicar en entorns controlats i mai enviar la contrasenya a proveïdors de serveis fora de l’organització. Precisament la gràcia de Shibboleth és abstreure la capa d’autenticació de les aplicacions web, si tornem a enviar la contrasenya a aquestes aplicacions no estem aconseguint res. El cas de les aplicacions de correu web és un cas molt particular i, com a tal, s’ha de tractar.

Continua llegint

Shibboleth SP amb múltiples VirtualHosts

Objectiu:

Ens podem trobar amb el cas que disposem de diverses aplicacions web en el mateix servidor apache, configurats mitjançant VirtualHosts i cadascun d’ells volem que autentiqui mitjançant Shibboleth. L’objectiu d’aquesta entrada és configurar Shibboleth en aquesta situació creant un host virtual a Shibboleth per a cada VirtualHost d’apache.

Continua llegint

Shibboleth IDP 2.4 amb Debian Wheezy (amb SSL offloading via nginx)

Objectiu:

L’objectiu d’aquesta entrada és disposar d’una màquina que executi el servei de proveïdor d’identitat (en endavant idp) Shibboleth versió 2.4 fent l’SSL offloading des d’un servei nginx. Aquesta màquina serà l’encarregada d’autenticar els usuaris dels diferents serveis web de la nostra organització tot proporcionant un entorn d’entrada única (Single Sign On) a la vegada que subministrarà els atributs que aquestes aplicacions web requereixin. L’autenticació i l’obtenció dels atributs es duran a terme mitjançant un directori LDAP.

En una entrada anterior es va configurar l’idp darrere un apache2 que utilitzava AJP. En aquesta entrada, bàsicament, substituirem apache2 per nginx fins on sigui possible.

Continua llegint

Pas d’atributs en un entorn Shibboleth

Objectiu:

En l’entorn Shibboleth que hem muntat en les dues entrades anteriors (idp, sp) desitgem passar atributs des del directori LDAP mitjançant l’idp fins el sp que els sol·licita.

Procediment:

Aquest pas a pas no requereix cap instal·lació de programari addicional. L’única cosa que hem de fer és configurar les diferents parts del sistema d’acord amb les nostres necessitats.

Continua llegint