Federacion (SSO) - Contribuciones del usuario [es]

Archivo:Logo ARIU.png

2023-06-28T18:13:36Z

Mzigaran:

Mellon como SP

2023-06-28T18:11:42Z

Mzigaran: Página creada con «= Service Provider = == Instalación == Instalación de mellon apt-get updatte apt-get install libapache2-mod-auth-mellon === Configuración === Habilito el modulo y configuro apache a2enmod mellon Editamos Apache <Location /> MellonEnable "auth" MellonUser "uid" MellonCond "accessTo" "test.riu.edu.ar" MellonSPPrivateKeyFile /etc/apache2/mellon-stats/https_test.riu.edu.ar.key MellonSPCertFile /etc/…»

= Service Provider =

== Instalación ==
Instalación de mellon
apt-get updatte
apt-get install libapache2-mod-auth-mellon

=== Configuración ===
Habilito el modulo y configuro apache
a2enmod mellon
Editamos Apache
<Location />
MellonEnable "auth"
MellonUser "uid"
MellonCond "accessTo" "test.riu.edu.ar"
MellonSPPrivateKeyFile /etc/apache2/mellon-stats/https_test.riu.edu.ar.key
MellonSPCertFile /etc/apache2/mellon-stats/https_test.riu.edu.ar.cert
MellonSPMetadataFile /etc/apache2/mellon-stats/https_test.riu.edu.ar.xml
MellonIdPMetadataFile /etc/apache2/mellon-stats/idp-metadata.xml
MellonEndpointPath /mellon
</Location>
Creamos el script mellon_create_metadata.sh que nos servira para crear los metadatos de nuestro SP
#!/usr/bin/env bash
set -e

PROG="$(basename "$0")"

printUsage() {
echo "Usage: $PROG ENTITY-ID ENDPOINT-URL"
echo ""
echo "Example:"
echo " $PROG <nowiki>urn:someservice</nowiki> <nowiki>https://sp.example.org/mellon</nowiki>"
echo ""
}

if [ "$#" -lt 2 ]; then
printUsage
exit 1
fi

ENTITYID="$1"
if [ -z "$ENTITYID" ]; then
echo "$PROG: An entity ID is required." >&2
exit 1
fi

BASEURL="$2"
if [ -z "$BASEURL" ]; then
echo "$PROG: The URL to the MellonEndpointPath is required." >&2
exit 1
fi

if ! echo "$BASEURL" | grep -q '^https\?://'; then
echo "$PROG: The URL must start with \"http://\" or \"https://\"." >&2
exit 1
fi

HOST="$(echo "$BASEURL" | sed 's#^[a-z]*://$[^:/]*$.*#\1#')"
BASEURL="$(echo "$BASEURL" | sed 's#/$##')"

OUTFILE="$(echo "$ENTITYID" | sed 's/[^0-9A-Za-z.]/_/g' | sed 's/__*/_/g')"
echo "Output files:"
echo "Private key: $OUTFILE.key"
echo "Certificate: $OUTFILE.cert"
echo "Metadata: $OUTFILE.xml"
echo "Host: $HOST"
echo
echo "Endpoints:"
echo "SingleLogoutService: $BASEURL/logout"
echo "AssertionConsumerService: $BASEURL/postResponse"
echo

# No files should not be readable by the rest of the world.
umask 0077

TEMPLATEFILE="$(mktemp -t mellon_create_sp.XXXXXXXXXX)"

cat >"$TEMPLATEFILE" <<EOF
RANDFILE = /dev/urandom
[req]
default_bits = 2048
default_keyfile = privkey.pem
distinguished_name = req_distinguished_name
prompt = no
policy = policy_anything
[req_distinguished_name]
commonName = $HOST
EOF

openssl req -utf8 -batch -config "$TEMPLATEFILE" -new -x509 -days 3652 -nodes -out "$OUTFILE.cert" -keyout "$OUTFILE.key" 2>/dev/null

rm -f "$TEMPLATEFILE"

CERT="$(grep -v '^-----' "$OUTFILE.cert")"

cat >"$OUTFILE.xml" <<EOF
<EntityDescriptor entityID="$ENTITYID" xmlns="<nowiki>urn:oasis:names:tc:SAML:2.0:metadata</nowiki>" xmlns:ds="<nowiki>http://www.w3.org/2000/09/xmldsig#</nowiki>">
<SPSSODescriptor protocolSupportEnumeration="<nowiki>urn:oasis:names:tc:SAML:2.0:protocol</nowiki>">
<KeyDescriptor use="signing">
<ds:KeyInfo xmlns:ds="<nowiki>http://www.w3.org/2000/09/xmldsig#</nowiki>">
<ds:X509Data>
<ds:X509Certificate>$CERT</ds:X509Certificate>
</ds:X509Data>
</ds:KeyInfo>
</KeyDescriptor>
<SingleLogoutService Binding="<nowiki>urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect</nowiki>" Location="$BASEURL/logout"/>
<AssertionConsumerService Binding="<nowiki>urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST</nowiki>" Location="$BASEURL/postResponse" index="0"/>
</SPSSODescriptor>
</EntityDescriptor>
EOF

umask 0777
chmod go+r "$OUTFILE.xml"
chmod go+r "$OUTFILE.cert"
Creo los metadatos:
/opt/mellon_create_metadata.sh <nowiki>https://test.riu.edu.ar</nowiki> <nowiki>https://test.riu.edu.ar/mellon</nowiki>
El archivo idp-metadata.xml contiene los datos sacados desde idp.riu.edu.ar

Shibboleth como SP

2023-06-28T18:07:07Z

Mzigaran: Página creada con «='''Shibboleth Service Provider'''<nowiki>=</nowiki> Datos importantes: Para esta configuración se utilizo los siguientes IDP y SP: SP: mail2.riu.edu.ar IDP: id.riu.edu.ar ===== Instalación ===== apt-get install libapache2-mod-shib2 shibboleth-sp2-schemas ===== Configuración de Apache ===== Para habilitar el modulo de shibboleth ejecuto lo siguiente: a2enmod shib2 Luego modifico el VirtualHost y agrego las lineas que están resaltadas en negritas:…»

='''Shibboleth Service Provider'''<nowiki>=</nowiki>

Datos importantes:

Para esta configuración se utilizo los siguientes IDP y SP: SP: mail2.riu.edu.ar IDP: id.riu.edu.ar

===== Instalación =====
apt-get install libapache2-mod-shib2 shibboleth-sp2-schemas

===== Configuración de Apache =====
Para habilitar el modulo de shibboleth ejecuto lo siguiente:
a2enmod shib2
Luego modifico el VirtualHost y agrego las lineas que están resaltadas en negritas:
<Directory /var/www/mail2>
<nowiki> </nowiki> <nowiki>'''</nowiki>AuthType shibboleth<nowiki>'''</nowiki>
<nowiki> </nowiki> <nowiki>'''</nowiki>ShibRequireSession On<nowiki>'''</nowiki>
<nowiki> </nowiki> <nowiki>'''</nowiki>require shibboleth<nowiki>'''</nowiki>
<nowiki> </nowiki> Options FollowSymLinks MultiViews
<nowiki> </nowiki> AllowOverride None
<nowiki> </nowiki> Order allow,deny
<nowiki> </nowiki> allow from all
<nowiki> </nowiki> </Directory>
Para finalizar reinicio el servicio para que tome los cambios
/etc/init.d/apache2 restart

===== Configuración Shibboleth =====
Creo los certificados necesarios para crear los metadatos de mi servidor:
shib-keygen -h mail2.riu.edu.ar
Luego copio el archivo example-shibboleth2.xml como shibboleth2.xml y lo modifico con los datos de mi servidor
<SPConfig xmlns="<nowiki>urn:mace:shibboleth:2.0:native:sp:config</nowiki>"
xmlns:conf="<nowiki>urn:mace:shibboleth:2.0:native:sp:config</nowiki>"
xmlns:saml="<nowiki>urn:oasis:names:tc:SAML:2.0:assertion</nowiki>"
xmlns:samlp="<nowiki>urn:oasis:names:tc:SAML:2.0:protocol</nowiki>"
xmlns:md="<nowiki>urn:oasis:names:tc:SAML:2.0:metadata</nowiki>"
logger="syslog.logger" clockSkew="180">

<OutOfProcess logger="shibd.logger">
</OutOfProcess>

<InProcess logger="native.logger">
<ISAPI normalizeRequest="true" safeHeaderNames="true">
<Site id="1" name="mail2.riu.edu.ar"/>
</ISAPI>
</InProcess>

<UnixListener address="shibd.sock"/>

<StorageService type="Memory" id="mem" cleanupInterval="900"/>
<SessionCache type="StorageService" StorageService="mem" cacheAssertions="false"
cacheAllowance="900" inprocTimeout="900" cleanupInterval="900"/>
<ReplayCache StorageService="mem"/>
<ArtifactMap artifactTTL="180"/>

<RequestMapper type="Native">
<RequestMap>
<Host name="mail2.riu.edu.ar">
<Path name="secure" authType="shibboleth" requireSession="true"/>
</Host>
</RequestMap>
</RequestMapper>

<ApplicationDefaults entityID="<nowiki>https://mail2.riu.edu.ar</nowiki>"
REMOTE_USER="eppn persistent-id targeted-id"
signing="false" encryption="false">

<Sessions lifetime="28800" timeout="3600" checkAddress="false"
handlerURL="/Shibboleth.sso" handlerSSL="false" relayState="ss:mem"
exportLocation="<nowiki>http://mail2.riu.edu.ar/Shibboleth.sso/GetAssertion</nowiki>" exportACL="127.0.0.1"
idpHistory="false" idpHistoryDays="7">

<SessionInitiator type="Chaining" Location="/Login" isDefault="true" id="Login"
entityID="<nowiki>https://id.riu.edu.ar/shib13/idp/metadata.php</nowiki>">

<SessionInitiator type="Shib1"/>
</SessionInitiator>

<md:AssertionConsumerService Location="/SAML2/POST" index="1"
Binding="<nowiki>urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST</nowiki>"/>
<md:AssertionConsumerService Location="/SAML2/POST-SimpleSign" index="2"
Binding="<nowiki>urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST-SimpleSign</nowiki>"/>
<md:AssertionConsumerService Location="/SAML2/Artifact" index="3"
Binding="<nowiki>urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact</nowiki>"/>
<md:AssertionConsumerService Location="/SAML2/ECP" index="4"
Binding="<nowiki>urn:oasis:names:tc:SAML:2.0:bindings:PAOS</nowiki>"/>
<md:AssertionConsumerService Location="/SAML/POST" index="5"
Binding="<nowiki>urn:oasis:names:tc:SAML:1.0:profiles:browser-post</nowiki>"/>
<md:AssertionConsumerService Location="/SAML/Artifact" index="6"
Binding="<nowiki>urn:oasis:names:tc:SAML:1.0:profiles:artifact-01</nowiki>"/>

<LogoutInitiator type="Chaining" Location="/Logout">
<LogoutInitiator type="SAML2" template="bindingTemplate.html"/>
<LogoutInitiator type="Local"/>
</LogoutInitiator>

<md:SingleLogoutService Location="/SLO/SOAP"
Binding="<nowiki>urn:oasis:names:tc:SAML:2.0:bindings:SOAP</nowiki>"/>
<md:SingleLogoutService Location="/SLO/Redirect" conf:template="bindingTemplate.html"
Binding="<nowiki>urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect</nowiki>"/>
<md:SingleLogoutService Location="/SLO/POST" conf:template="bindingTemplate.html"
Binding="<nowiki>urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST</nowiki>"/>
<md:SingleLogoutService Location="/SLO/Artifact" conf:template="bindingTemplate.html"
Binding="<nowiki>urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact</nowiki>"/>

<md:ManageNameIDService Location="/NIM/SOAP"
Binding="<nowiki>urn:oasis:names:tc:SAML:2.0:bindings:SOAP</nowiki>"/>
<md:ManageNameIDService Location="/NIM/Redirect" conf:template="bindingTemplate.html"
Binding="<nowiki>urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect</nowiki>"/>
<md:ManageNameIDService Location="/NIM/POST" conf:template="bindingTemplate.html"
Binding="<nowiki>urn:oasis:names:tc:SAML:2.0:bindings:HTTP-POST</nowiki>"/>
<md:ManageNameIDService Location="/NIM/Artifact" conf:template="bindingTemplate.html"
Binding="<nowiki>urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Artifact</nowiki>"/>

<md:ArtifactResolutionService Location="/Artifact/SOAP" index="1"
Binding="<nowiki>urn:oasis:names:tc:SAML:2.0:bindings:SOAP</nowiki>"/>

<Handler type="MetadataGenerator" Location="/Metadata" signing="false" acl="10.22.0.0/24"/>

<Handler type="Status" Location="/Status" acl="127.0.0.1"/>

<Handler type="Session" Location="/Session" showAttributeValues="true" acl="127.0.0.1"/>

<Handler type="DiscoveryFeed" Location="/DiscoFeed"/>
</Sessions>

<Errors supportContact="postmaster@riu.edu.ar"
logoLocation="/shibboleth-sp/logo.jpg"
styleSheet="/shibboleth-sp/main.css"/>

<MetadataProvider type="XML" file="mail2-metadata.xml"/>
<MetadataProvider type="XML" file="id.riu.edu.ar-metadata.xml"/>

<TrustEngine type="ExplicitKey"/>
<TrustEngine type="PKIX"/>

<AttributeExtractor type="XML" validate="true" path="attribute-map.xml"/>

<AttributeResolver type="Query" subjectMatch="true"/>

<AttributeFilter type="XML" validate="true" path="attribute-policy.xml"/>

<CredentialResolver type="File" key="sp-key.pem" certificate="sp-cert.pem"/>

</ApplicationDefaults>

<SecurityPolicyProvider type="XML" validate="true" path="security-policy.xml"/>

<ProtocolProvider type="XML" validate="true" reloadChanges="false" path="protocols.xml"/>

</SPConfig>
Una vez terminada la configuración de shibboleth.xml creo el archivo id.riu.edu.ar-metadata.xml y dentro del mismo coloco los datos obtenidos de mi IDP, los mismos los obtengo de la siguiente manera.

Ingreso a mi IDP por WEB → voy a la '''solapa federación''' y en la parte de '''Metadatos IdP Shib 1.3''' hago clic sobre '''[ Ver metadatos ]''' y copio los metadatos que están en '''formato xml'''.

Cuando termino de realizar esto procedo a general los metadatos de mi SP, para hacerlo ejecuto el siguiente comando:
shib-metagen -h mail2.riu.edu.ar > mail2-metadata.xml
Luego para que el SP quede funcionando reinicio shibboleth
/etc/init.d/shibd restart

Simplesamlphp como Idp Shib

2023-06-28T18:05:10Z

Mzigaran: Página creada con «= Configurar Simplesamlphp como Idp shibboleth = Entrar al directorio /var/www/simplesamlphp/config/ y editar el archivo config.php Cambiar el parámetro 'enable.shib13-idp' => false, por 'enable.shib13-idp' => true, Luego vamos al directorio /var/www/simplesamlphp/metadata y editamos el archivo shib13-idp-hosted.php, para modificar los siguientes parametros 'privatekey' => 'server.pem', //certificados\\ 'certificate' => 'server.crt', //certificados\\…»

= Configurar Simplesamlphp como Idp shibboleth =
Entrar al directorio /var/www/simplesamlphp/config/ y editar el archivo config.php

Cambiar el parámetro
'enable.shib13-idp' => false,
por
'enable.shib13-idp' => true,
Luego vamos al directorio /var/www/simplesamlphp/metadata y editamos el archivo shib13-idp-hosted.php, para modificar los siguientes parametros
'privatekey' => 'server.pem', //certificados\\
'certificate' => 'server.crt', //certificados\\
'auth' => 'ldap', //Fuente de autenticación\\
A continuación editamos shib13-idp-remote.php, para que quede de la siguiente manera:
$metadata['<nowiki>https://idp.riu.edu.ar/idp/shibboleth'</nowiki>] = array (\\
'metadata-set' => 'saml20-idp-remote',\\
'entityid' => '<nowiki>https://idp.riu.edu.ar/idp/shibboleth'</nowiki>,\\
'SingleSignOnService' => \\
array (\\
0 => \\
array (\\
'Binding' => '<nowiki>urn:oasis:names:tc:SAML:2.0:bindings:HTTP-Redirect'</nowiki>,\\
'Location' => '<nowiki>https://idp.riu.edu.ar/saml2/idp/SSOService.php'</nowiki>,\\
),\\
),\\
'SingleLogoutService' => '<nowiki>https://idp.riu.edu.ar/saml2/idp/SingleLogoutService.php'</nowiki>,\\
'certData' => 'MIIFKTDDBxGgAwIBAgIJAP4Vx4o83JELMA0GCSqGSIb3DQEBBQUAMIGqMQswCQYDVQQGEwJBUjEVMBMGA1UECAwMQnVlbm8zIEFpcmVzMQ9wDQYDVKKHDAZCZXJuYWwxKDAmBgNBVUeMH2VuaXZlcnN\\
'NameIDFormat' => '<nowiki>urn:oasis:names:tc:SAML:2.0:nameid-format:transient'</nowiki>,\\
);\\
El parámetro certData se obtiene del archivo server.crt que se encuentra en el directorio /var/www/simplesamlphp/cert

Simplesamlphp como SP

2023-06-28T18:03:11Z

Mzigaran: Página creada con «=== Simplesamlphp === * Instalar prerequisitos: # apt-get install php5 php5-mcrypt php5-mhash php5-mysql openssl * Instalar simplesamlphp: Sitio con información para descarga: <nowiki>https://simplesamlphp.org/download</nowiki> * Descarga, descompresión, creación de link simbolico: # cd /var/www/html # wget <nowiki>https://simplesamlphp.org/res/downloads/simplesamlphp-1.XX.X.tar.gz</nowiki> # tar zxvf simplesamlphp-1.XX.X.tar.gz # ln -s simplesamlphp-1.X…»

=== Simplesamlphp ===

* Instalar prerequisitos:

# apt-get install php5 php5-mcrypt php5-mhash php5-mysql openssl

* Instalar simplesamlphp:

Sitio con información para descarga: <nowiki>https://simplesamlphp.org/download</nowiki>

* Descarga, descompresión, creación de link simbolico:

# cd /var/www/html
# wget <nowiki>https://simplesamlphp.org/res/downloads/simplesamlphp-1.XX.X.tar.gz</nowiki>
# tar zxvf simplesamlphp-1.XX.X.tar.gz
# ln -s simplesamlphp-1.XX.X.tar.gz simplesamlphp

* Simplesamlphp requiere un certificado SSL en el directorio certs.

Podemos crear uno autofirmado y copiarlo a dicho directorio:
# mkdir /etc/ssl/certs/sp/
# cd /etc/ssl/certs/sp/
# openssl genrsa -out server.pem 2048
# openssl req -new -key server.pem -out server.csr
# openssl x509 -req -days 365 -in server.csr -signkey server.pem -out server.crt
# cp * /var/www/html/simplesamlphp/cert/

* Editar archivo de configuracion '''/var/www/html/simplesamlphp/config/config.php'''

'auth.adminpassword' => 'secret' # Set a new password for admin web interface
'enable.saml20-idp' => true, # Enable ssp as IdP
'secretsalt' => 'secret', # Set a Salt, in the config file there is documentation to generate it
'technicalcontact_name' => 'Admin name', # Set admin data
'technicalcontact_email' => 'xxxx@riu.edu.ar',
'session.cookie.domain' => '.sp.riu.edu.ar', # Set the global domain, to share cookie with the rest of componnets
'''Valores recomendados para Produccion:'''
'admin.protectindexpage' => true, # To protect the index page of simpleSAMLphp
'debug' => FALSE,
'showerrors' => FALSE, # To hide error-trace
'''Ajustar owner en directorios:'''
# chown -R apache:apache cert log data metadata

* Editar archivo donde se declaran los identity providers '''/var/www/html/simplesamlphp/config/authsources.php:'''

<?php
$config = array(

// This is a authentication source which handles admin authentication.
'admin' => array(
// The default is to use core:AdminPassword, but it can be replaced with
// any authentication source.

'core:AdminPassword',
),

// An authentication source which can authenticate against both SAML 2.0
// and Shibboleth 1.3 IdPs.
'default-sp' => array(
'saml:SP',

// The entity ID of this SP.
// Can be NULL/unset, in which case an entity ID is generated based on the metadata URL.
'entityID' => NULL,

// The entity ID of the IdP this should SP should contact.
// Can be NULL/unset, in which case the user will be shown a list of available IdPs.

// 'idp' => NULL,
'idp' => '<nowiki>https://id.riu.edu.ar/saml2/idp/metadata.php'</nowiki>, # Set the entityID of the IdP you gonna use

// The URL to the discovery service.
// Can be NULL/unset, in which case a builtin discovery service will be used.
'discoURL' => NULL,

),
),

* Conectarse como administrador al sitio idp (en nuestro caso <nowiki>https://id.riu.edu.ar</nowiki>) para obtener '''SAML 2.0 IdP Metadata“ en formato php.'''

Pegar su contenido en el archivo '''/var/www/html/simplesamlphp/metadata/saml20-idp-remote.php'''

* Agregar el siguiente alias en la definición de '''virtualhost''' del servidor web:

Alias /simplesaml /var/www/html/simplesamlphp/www

Simplesamlphp como Idp

2023-06-28T17:53:14Z

Mzigaran:

= simpleSAMLphp tiene los siguientes requisitos: =
PHP 7.0 o superior

Extensiones de PHP: date, dom, hash, libxml, openssl, pcre, SPL, zlib, mcrypt

Tras haberse asegurado de tenerlas todas, deberá descargar la última versión del software y descomprimirla en un directorio que no sea directamente accesible desde el servidor web. Por ejemplo:
# cd /var
# tar xzf simplesamlphp-1.xxxxx.tar.gz
# mv simplesamlphp-1.xxxxx simplesamlphp
Lo siguiente será indicarle al servidor web que debe servir cierto subdirectorio de simpleSAMLphp en una determina ruta. Por ejemplo, en Apache lo podría hacer añadiendo la siguiente definición a la configuración de un VirtualHost servido mediante SSL:
<VirtualHost *:443>
# ...
Alias /simplesaml /var/www/simplesamlphp/www
# ...
</VirtualHost>

== Configuración ==
Empezamos la configuración editando el fichero habilitamos servicio IDP SAML2 editando el archivo /var/www/simplesamlphp/config/config.php de simpleSAMLphp y modifique los siguientes parámetros como se indica:

<nowiki>*</nowiki> admin.adminpassword: 'IngresarClaveParaAdministrar'

<nowiki>*</nowiki> admin.protectindexpage: false,

<nowiki>*</nowiki> secretsalt: es una cadena que servirá para la generación de elementos aleatorios. Se puede poner cualquiera, aunque se aconseja generarla de manera aleatoria con una orden como la siguiente:
$ tr -c -d '0123456789abcdefghijklmnopqrstuvwxyz' </dev/urandom | \
dd bs=32 count=1 2>/dev/null;echo
<nowiki>*</nowiki> technicalcontact_name: 'Administrador'

<nowiki>*</nowiki> technicalcontact_email: '<nowiki>mailto:uncorreo@universidad.edu.ar'</nowiki>

<nowiki>*</nowiki> timezone: 'America/Argentina/Buenos_Aires'

<nowiki>*</nowiki> logging.handler: 'syslog'

<nowiki>*</nowiki> language.default: 'es'

<nowiki>*</nowiki> Habilitamos al simplesamlphp como Idp:

Linea 424:
'enable.saml20-idp' => true,
Linea 1060:
'store.type' =>'memcache',
creamos un certificado ssl autofirmado para el IDP:
# cd /var/www/simplesamlphp/cert/

# openssl req -x509 -newkey rsa:4096 -keyout server.pem -out server.crt -days 365 -nodes

# chown -R www-data:www-data /var/www/simplesamlphp/cert
configuramos nuestro IDP SAML2 editando '''/var/www/simplesamlphp/metadata/saml20-idp-hosted.php'''

Desde linea 24:
'auth' => 'mi-ldap-local',

'redirect.sign' => true,

'name' => 'IDP nombre-X',

'redirect.validate' => true,

'assertion.encryption' => true,
Incorporamos una fuente de autenticación LDAP al IDP, editando el archivo /var/www/simplesamlphp/config/authsources.php

Desde linea 13 intercalar lo siguiente:
'mi-ldap-local' => array(

'ldap:LDAP',

'hostname' => 'ldap://localhost',
'referrals' => TRUE,
'attributes' => array(

'uid',
'cn',
'sn',
'mail',
),
'search.enable' => TRUE,
'search.base' => 'dc=ariudemo,dc=edu,dc=ar',
'search.attributes' => array('uid', 'mail'),
'search.username' => 'cn=admin,dc=ariudemo,dc=edu,dc=ar',
'search.password' => 'super123',
),

Simplesamlphp como Idp

2023-06-28T17:52:45Z

Mzigaran: Página creada con «= Instalación de un Idp con simplesamlphp = == simpleSAMLphp tiene los siguientes requisitos: == PHP 7.0 o superior Extensiones de PHP: date, dom, hash, libxml, openssl, pcre, SPL, zlib, mcrypt Tras haberse asegurado de tenerlas todas, deberá descargar la última versión del software y descomprimirla en un directorio que no sea directamente accesible desde el servidor web. Por ejemplo: # cd /var # tar xzf simplesamlphp-1.xxxxx.tar.gz # mv simplesamlphp-1.xxxx…»

= Instalación de un Idp con simplesamlphp =

== simpleSAMLphp tiene los siguientes requisitos: ==
PHP 7.0 o superior

Extensiones de PHP: date, dom, hash, libxml, openssl, pcre, SPL, zlib, mcrypt

Tras haberse asegurado de tenerlas todas, deberá descargar la última versión del software y descomprimirla en un directorio que no sea directamente accesible desde el servidor web. Por ejemplo:
# cd /var
# tar xzf simplesamlphp-1.xxxxx.tar.gz
# mv simplesamlphp-1.xxxxx simplesamlphp
Lo siguiente será indicarle al servidor web que debe servir cierto subdirectorio de simpleSAMLphp en una determina ruta. Por ejemplo, en Apache lo podría hacer añadiendo la siguiente definición a la configuración de un VirtualHost servido mediante SSL:
<VirtualHost *:443>
# ...
Alias /simplesaml /var/www/simplesamlphp/www
# ...
</VirtualHost>

== Configuración ==
Empezamos la configuración editando el fichero habilitamos servicio IDP SAML2 editando el archivo /var/www/simplesamlphp/config/config.php de simpleSAMLphp y modifique los siguientes parámetros como se indica:

<nowiki>*</nowiki> admin.adminpassword: 'IngresarClaveParaAdministrar'

<nowiki>*</nowiki> admin.protectindexpage: false,

<nowiki>*</nowiki> secretsalt: es una cadena que servirá para la generación de elementos aleatorios. Se puede poner cualquiera, aunque se aconseja generarla de manera aleatoria con una orden como la siguiente:
$ tr -c -d '0123456789abcdefghijklmnopqrstuvwxyz' </dev/urandom | \
dd bs=32 count=1 2>/dev/null;echo
<nowiki>*</nowiki> technicalcontact_name: 'Administrador'

<nowiki>*</nowiki> technicalcontact_email: '<nowiki>mailto:uncorreo@universidad.edu.ar'</nowiki>

<nowiki>*</nowiki> timezone: 'America/Argentina/Buenos_Aires'

<nowiki>*</nowiki> logging.handler: 'syslog'

<nowiki>*</nowiki> language.default: 'es'

<nowiki>*</nowiki> Habilitamos al simplesamlphp como Idp:

Linea 424:
'enable.saml20-idp' => true,
Linea 1060:
'store.type' =>'memcache',
creamos un certificado ssl autofirmado para el IDP:
# cd /var/www/simplesamlphp/cert/

# openssl req -x509 -newkey rsa:4096 -keyout server.pem -out server.crt -days 365 -nodes

# chown -R www-data:www-data /var/www/simplesamlphp/cert
configuramos nuestro IDP SAML2 editando '''/var/www/simplesamlphp/metadata/saml20-idp-hosted.php'''

Desde linea 24:
'auth' => 'mi-ldap-local',

'redirect.sign' => true,

'name' => 'IDP nombre-X',

'redirect.validate' => true,

'assertion.encryption' => true,
Incorporamos una fuente de autenticación LDAP al IDP, editando el archivo /var/www/simplesamlphp/config/authsources.php

Desde linea 13 intercalar lo siguiente:
'mi-ldap-local' => array(

'ldap:LDAP',

'hostname' => 'ldap://localhost',
'referrals' => TRUE,
'attributes' => array(

'uid',
'cn',
'sn',
'mail',
),
'search.enable' => TRUE,
'search.base' => 'dc=ariudemo,dc=edu,dc=ar',
'search.attributes' => array('uid', 'mail'),
'search.username' => 'cn=admin,dc=ariudemo,dc=edu,dc=ar',
'search.password' => 'super123',
),

Página principal

2023-06-28T16:28:02Z

Mzigaran: Creación de indices

* ''[[Simplesamlphp como Idp]]''
* ''[[Simplesamlphp como SP]]''
* ''[[Simplesamlphp como Idp Shib]]''
* ''[[Shibboleth como SP]]''
* ''[[Mellon como SP]]''

==Primeros pasos==
* [[mediawikiwiki:Special:MyLanguage/Manual:Configuration_settings|Lista de ajustes de configuración]]
*[[mediawikiwiki:Special:MyLanguage/Manual:FAQ|Preguntas frecuentes sobre MediaWiki]]
*[https://lists.wikimedia.org/postorius/lists/mediawiki-announce.lists.wikimedia.org/ Lista de correo de anuncios de publicación de MediaWiki]
*[[mediawikiwiki:Special:MyLanguage/Localisation#Translation_resources|Traducir MediaWiki a tu idioma]]
*[[mediawikiwiki:Special:MyLanguage/Manual:Combating_spam|Aprende a combatir el spam en tu wiki]]