2. 2 Agenda Scenari Applicativi in fase di test Installazione di un IdP Installazione di un Sp Installare l’infrastruttura ICAR Integrazione dei sistemi Integrazione IdP e Sp Integrazione con l’infrastruttura ICAR Sviluppi Futuri Autenticazione tramite SmartCard Autenticazione tramite Google
3. 3 Scenari Applicativi in fase di test Installazione di un IdP Installazione di un Sp Installare l’infrastruttura ICAR
4. 4 Scenari Applicativi in fase di test Installazione di un IdP Installazione di un Sp Installare l’infrastruttura ICAR
6. 6 Installare l’IdP Debian (netinst 5.03) Sistema minimale senza interfaccia grafica Packages Openssl – Pacchetto per la generazione delle chiavi per i certificati Ntp – Network Time Protocol per sincronizzare le macchine Apache2 – Server web Sun-java6-jdk – Kit e dipendenze per l’ambiente di sviluppo Java Tomcat5.5 – Web container per le applicazioni Curl - Pacchetto per effettuare richieste http da riga di comando
7. 7 Installare l’IdP Shibboleth IdP versione 2.1.2Pacchetto per la creazione di un Identity Provider
18. 18 Configurare l’IdP Eseguire: a2enmod ssl – Attivazione del modulo ssl a2enmod proxy_ajp – Attivazione del modulo proxy_ajp a2ensite default-ssl – Attivazione delle configurazione fatte sul default-ssl /etc/init.d/apache2 force-reload – Riavvio di apache Test: https://idp.e-lios.eu/idp/profile/Status - deve uscire ok https://sp.testshib.org/ - per il passaggio degli attributi
19. 19 Scenari Applicativi in fase di test Installazione di un IdP Installazione di un Sp Installare l’infrastruttura ICAR
20. 20 Scenari Applicativi in fase di test Installazione di un IdP Installazione di un Sp Installare l’infrastruttura ICAR
21. 21 Installare l’SP Debian (netinst 5.03) Sistema minimale senza interfaccia grafica Packages mysql-server – Server database Phpmyadmin – Client web per il database openssh-server – Server per l’accesso remoto alla macchina apache2.2 - Server web Php5 – Linguaggio di scripting per il web php5-ldap – Modulo di php per l’openldap libapache2-mod-shib2 – Modulo di Apache per il Service Provider di Shibboleth
23. 23 Panoramica sui conf dell’SP /etc/shibboleth shibboleth2.xmlimpostazioni generali del servizio attribute-map.xmldefinisce la conversione tra gli attributi ricevuti dallo IdP e le variabili server Attribute-policy.xmldefinisce l’accettabilità degli attributi a partire dal loro formato
24. 24 Scenari Applicativi in fase di test Installazione di un IdP Installazione di un Sp Installare l’infrastruttura ICAR
25. 25 Scenari Applicativi in fase di test Installazione di un IdP Installazione di un Sp Installare l’infrastruttura ICAR
26. 26 Installare l’infrastruttura ICAR Debian (netinst 5.03) Sistema minimale senza interfaccia grafica Packages sun-java6-jdk libbcprov-java – Librerie Java libbcprov-java-gcj – Librerie Java mysql-server phpmyadmin Porte aperte per le connessioni 3443, 4443, 5443, 6443, 8006, 8080 e 9443
27. 27 Installare l’infrastruttura ICAR Copiare icar-inf3-release-0.9.5 in /root /root/icar-inf3-release-0.9.5/catalina_base/common/endorsed/* in/usr/share/tomcat5.5/common/endorsed catalina_base/* in /usr/share/tomcat5.5 catalina_base/conf/* in /usr/share/tomcat5.5/conf
28. 28 Test dell’infrastruttura ICAR Modificare il file hosts 127.0.0.1 lp.icar.it idp.icar.it ar.icar.it aa.icar.it pa.icar.it sp.icar.itutile per fare la simulazione locale Collegarsi http://sp.icar.it:8080/icar-sp-test
29. 29 Integrazione dei sistemi Integrazione IdP e Sp Integrazione con l’infrastruttura ICAR
30. 30 Integrazione dei sistemi Integrazione IdP e Sp Integrazione con l’infrastruttura ICAR
31. 31 Integrazione IdP e SP Nell’IdP Modificare il relayparty.xml <MetadataProvider id="URLMD" xsi:type="FileBackedHTTPMetadataProvider" xmlns="urn:mace:shibboleth:2.0:metadata" metadataURL="http://idp.xxx.eu/xxx-metadata.xml" backingFile="/opt/shibboleth-idp/metadata/elios-metadata.xml"> Nell’SP Modificare il shibboleth2.xml <SessionInitiator type="Chaining" Location="/Login" isDefault="true" id="Intranet" relayState="cookie" entityID="https://idp.e-xxx.eu/idp/shibboleth">
34. 34 Integrazione IdP e SP Metadata Unire in un file i metadati dell’IdP e dell’SP file: /opt/shibboleth-idp/metadata/idp-metadata.xml run time: http://SP/Shibboleth.sso/Metadata <EntitiesDescription […]> … </EntitiesDescription> Renderli pubblici in modo da aggiornare un solo file ogni voltahttp://idp.xxxo.eu/xxx-metadata.xml esempio: link
35. 35 Integrazione dei sistemi Integrazione IdP e Sp Integrazione con l’infrastruttura ICAR
36. 36 Integrazione dei sistemi Integrazione IdP e Sp Integrazione con l’infrastruttura ICAR
37. 37 Integrazione con l’infrastruttura ICAR Ancora in fase di sviluppo Nel caso dell’IdP: Modifica del relaying-party.xml <RelayingParty> in modo che punti alla PA <MetadataProvider> in modo che punti alla PA Modifica dell’attribute-resolver.xml <resolver:AttributeDefinition> <resolver:DataConnector> Registrazione del nuovo IdP all’interno dell’ Authority Registry Recupero dinamico dei metadati
38. 38 Integrazione con l’infrastruttura ICAR Nel caso dell’SP: Modifica del shibboleth2.xml <RequestMapper> in modo che punti al nuovo SP <ApplicationDefault> in modo che punti al nuovo SP <SessionInitiator> in modo che punti al metadata del LP <ApplicationOverride> in modo che punti ai singoli servizi offerti dall’SP Modifica dell’attribute-map.xml <Attribute name=“…”> per la lettura degli attributi
39. 39 Sviluppi Futuri Autenticazione tramite SmartCard Autenticazione tramite Google
40. 40 Autenticazione tramite Google Accesso tramite Shibbolth a tutti i servizi di Google Google è il nostro SP Necessario un accountEducation Edition (pagamento) https://shibboleth.usc.edu/docs/google-apps/
41. 41 Autenticazione tramite SmartCard Ci sono diverse estensioni su Shibboleth che permettono l’autenticazione attraverso la SmartCard http://www.mediawiki.org/wiki/Extension:LDAP_Authentication/Smartcard_Configuration_Examples Working in progress con Carta Raffaello
42. 42 Conclusioni Configurazioni non sono troppo banali Necessario un minimo di skill di base Shibboleth è un software con ampi margini di miglioramento senza dimenticare che è opensource Numerose estensioni che supportano l’autenticazione tramite shibboleth Drupal Joomla Google simpleSAMLphp Tutorial Video Numerosi vantaggi derivanti dall’accesso federato
44. 44 Th@nk for your Attention! Michele Manzotti Scuola di Scienze e Tecnologie Università di Camerino Polo di informatica Via Madonna delle Carceri, 9 62032 - Camerino (Macerata) – ITALY eMail: michele.manzotti@studenti.unicam.it http://conferences.cs.unicam.it/icarplusformazione 44