WIXLIB

Aprovisionamiento de Identidad - Tareas #2461Tareas # 2453 (En curso): Probar ShibbolethInstalar Shibboleth2014-01-26 13:26 - Daniel Viñar UlriksenEstado:CerradaFecha de inicio:Prioridad:NormalFecha fin:Asignado a:Cielito - LDAP2014-01-26% Realizado:80%Categoría:Tiempo estimado:30.00 horasVersión prevista:Tiempo dedicado:21.00 horasDescripciónVamos mirando la doc y explorando.Abrá que poner más tareas de configuración, pruebas, etc.Peticiones relacionadas:relacionada con Seguridad de la información - Tareas # 2462: ¿Cómo abrir un t.Nueva2014-01-26relacionada con Aprovisionamiento de Identidad - Tareas # 3971: Instalación d.Resuelta2015-01-23Histórico#1 - 2014-01-26 13:26 - Daniel Viñar Ulriksen- Asignado a establecido a Daniel Viñar Ulriksen#2 - 2014-01-26 13:53 - Daniel Viñar UlriksenPor ahora no entiendo nada de: B2/IdPInstall#IdPInstall-BeforeYouBeginen particular el asunto del MetaData.Veamos los requisistos de contenedor: ver: B2/IdPApacheTomcatPreparecon aptitude, buscamos lo que tiene que ver con tomcatInstalo tomcat6 y dependencias.#3 - 2014-01-26 13:53 - Daniel Viñar Ulriksen- Estado cambiado Nueva por En curso#4 - 2014-01-26 14:11 - Daniel Viñar Ulriksenfunciona: http://curie.csic.edu.uy:8080/Doc archi básica del paquete:root@curie: # gunzip -c /usr/share/doc/tomcat6/README.Debian.gz lessComo aconseja:* If you install tomcat6-admin, then you need to edit/etc/tomcat6/tomcat-users.xml and add to it the following: role rolename "manager"/ user username "tomcat" password "*******" roles "manager"/ Tomcat administration will be accessible onhttp://localhost:8080/manager/html2022-10-061/8

instalamos tomcat6-admin.Para accederlo de afuera, abrimos el redireccionamiento de puertos por túneles. Reflexión de seguridad: #2462.#5 - 2014-01-26 14:56 - Daniel Viñar UlriksenLuego de haber perdido un rato de no ver los !--- --- que encuadraban lo que estaba configurando en el .xml.Arranco la webapp de administración, bajo Shibboleth, se instala bien donde debe,Esto no supe hacerlo dejo y sigo.#6 - 2014-01-26 15:45 - Daniel Viñar UlriksenPrimera vez que despliego una webapp java, me perdí. vuelvo a la base de tomcat:gunzip -c /usr/share/doc/tomcat6/README.Debian.gz lessHabrá que ver esto:* Tomcat is not running under a Java security manager by default. If youexpose your Tomcat instance to the internet, please consider editingyour /etc/default/tomcat6 file and set TOMCAT6 SECURITY "yes", thenadjust policy files in /etc/tomcat6/policy.d/ as explained -manager-howto.html* To run more than one Tomcat instance on your server, install the packagetomcat6-user and run the tomcat6-instance-create utility.You should remove the tomcat6 package if you don't want Tomcat tostart as a daemon at boot time.y ponerle al tomcat un frontal apache, mejor.#7 - 2014-01-26 15:53 - Daniel Viñar Ulriksen¿Qué son los TOMCAT HOME y otras variables? En debian, revisando los paquetes tomcat con dpkg -L tomca6 , por ej, no encuentro una carpeta quetenga a la vez las subcarpetas: TOMCAT HOME/lib@, y un TOMCAT HOME/conf/server.xml .lib tenemos en: /usr/share/tomcat6/lib y conf/server.xml hay uno con enlaces simbólicos por acá:root@curie:/var/lib/tomcat6# ls -latotal 24drwxr-xr-x 6 rootdrwxr-xr-x 31 rootrootroot4096 ene 26 13:20 .4096 ene 26 13:20 .drwxr-xr-x 3 tomcat6 tomcat6 4096 ene 26 13:20 commonlrwxrwxrwx 1 rootroot12 jul 18 2013 conf - /etc/tomcat6lrwxrwxrwx 1 rootroot17 jul 18 2013 logs - ././log/tomcat6drwxr-xr-x 3 tomcat6 tomcat6 4096 ene 26 13:20 serverdrwxr-xr-x 3 tomcat6 tomcat6 4096 ene 26 13:20 shared2022-10-062/8

drwxrwxr-x 3 tomcat6 tomcat6 4096 ene 26 14:54 webappslrwxrwxrwx 1 rootroot19 jul 18 2013 work - ././cache/tomcat6Y adentro está el /etc/tomcat6/conf/server.xmldebian es estricto en su empaquetamiento, pero hace bien las cosas.Con esto podemos ver donde depositar este tomcat6-dta-ssl-1.0.0.jar y el fragmento .xml que sigue#8 - 2014-01-26 16:51 - Daniel Viñar UlriksenArmamos el idp.xml como indicado.Aún no arranca. Vemos en /var/log/tomcat6/catalina.out que hay un problema con los derechos de /opt/shibboleth-idp/logs/, que arreglamos:chown tomcat6:tomcat6 -R /opt/shibboleth-idp/logs/Pero aún sigue sin arrancar.Volvemos sobre esto que no había sabido hacerCotejamos con esto donde se debe poner la carpeta endorsed con jars.Y ahí lo arrancamos por primera vez.#9 - 2014-01-26 16:57 - Daniel Viñar UlriksenEn debian las variables de entorno se suelen configurar en los archivos de /etc/defaults por procesoPor omisión en /etc/defaults/tomcat6 teníamos 128, cambiamos:# JAVA OPTS "-Djava.awt.headless true -Xmx128m -XX: UseConcMarkSweepGC"JAVA OPTS "-Djava.awt.headless true -Xmx512m -XX: UseConcMarkSweepGC"#10 - 2014-01-26 18:19 - Daniel Viñar UlriksenHasta acá llegué, por un tunel a curie, en http://localhost:8080/idp/status:### Operating Environment Informationoperating system: Linuxoperating system version: 3.2.0-4-amd64operating system architecture: amd64jdk version: 1.6.0 27available cores: 1used memory: 81MBmaximum memory: 509MB2022-10-063/8

start time: 2014-01-26T19:23:34Zcurrent time: 2014-01-26T19:23:48Zuptime: 13983ms### Identity Provider Informationidp version: 2.4.0idp start time: 2014-01-26T19:23:34Zattribute resolver valid: true### Relying Party Configurationsrelying party id: anonymousidp entity id: https://curie.csic.edu.uy/idp/shibbolethdefault authentication method: nonedefault signing tls key: MIIDMDCCAhig(.4 renglones.)OWKOGQOEHxQ relying party id: defaultidp entity id: https://curie.csic.edu.uy/idp/shibbolethdefault authentication method: nonedefault signing tls key: MIIDMDCCAhig(.4 renglones.)OWKOGQOEHxQ configured communication profile: buteconfigured communication profile: ed communication profile: buteconfigured communication profile: ed communication profile: gured communication profile: ured communication profile: actconfigured communication profile: act(además de no ensuciar este gestor, mejor no publicamos cosas como claves. -aunque entendemos acá que son las públicas)#11 - 2014-01-26 18:19 - Daniel Viñar Ulriksen- % Realizado cambiado 0 por 20- Tiempo estimado establecido a 5.00#12 - 2014-01-26 18:21 - Daniel Viñar Ulriksen- Tiempo estimado cambiado 5.00 por 30.00#13 - 2014-01-26 19:19 - Daniel Viñar UlriksenOtra doc válida:gunzip -c gz lessEn particular, vemos que hay que lanzar:shib-keygenY ponemnos imagenes: Location /shibboleth-sp Allow from all /Location Alias /shibboleth-sp/main.css /usr/share/shibboleth/main.css2022-10-064/8

Alias /shibboleth-sp/logo.jpg /usr/share/shibboleth/logo.jpg#14 - 2014-01-27 00:54 - Daniel Viñar UlriksenNos faltaba instalar el Servide Provider: B2/NativeSPLinuxInstallPara debian: de las fuentes: B2/NativeSPLinuxSourceBuildDescargamos de acá: .5.3/?Instalo libboost-all-dev (?)pruebo:checking for xmltooling/base.h. yesconfigure: error: unable to link with XMLTooling, or version was too old#15 - 2014-01-27 10:45 - Daniel Viñar UlriksenResumiendo lo que probé:- log4shib: es un paquete de shibboleth, pero también está en los backport de la debian 7:root@dalembert:/etc/apache2/sites-available# aptitude search log4shibp liblog4shib-devp liblog4shib-docc liblog4shib1- log4j-style configurable logging library for C (development)- log4j-style configurable logging library for C (API docs)- log4j-style configurable logging library for C le# aptitude versions log4shibPackage liblog4shib-dev:p 1.0.4-1stable500stable500stable500Package liblog4shib-doc:p 1.0.4-1Package liblog4shib1:p 1.0.4-1Trabajé con la versión de Shiboleth, como ven nos podría faltar probar con la de los backport (que es más antigua)Esto anduvo:./configure --disable-static --disable-doxygen --prefix /opt/shibboleth-spy luego make y make install también, luego de haber ido instalando todo lo que daba error por ausencia, en particular las librerías boost que menciona ladoc.- Xerces-C:Este paquete y los que siguen son de la distribución debian. Primero probé bajar los *-dev, pero no alcanzaba. Bajé luego las fuentes:aptitude search xercpara identificar el nombre exacto, y:2022-10-065/8

apt-get sources Package libxerces-c3.1Esto funcionó:./configure --prefix /opt/shibboleth-sp --disable-netaccessor-libcurl- XML-Security-C: ./configure --without-xalan --disable-static --prefix /opt/shibboleth-spigual que el precedente, funcionó.- XMLTooling-C: ./configure --with-log4shib /opt/shibboleth-sp --prefix /opt/shibboleth-sp -Cidem, este también funcioó, pero luego fue incriminado de senil en compilaciones siguientes.Ubicamos una versión más reciente en los backports, nombrada en debian: libxmltooling6también probamos con esta, per no resolvió los problemas que siguieron.- OpenSAML-C: ./configure --with-log4shib /opt/shibboleth-sp --prefix /opt/shibboleth-sp -CEste también es un paquete de shibboleth. Pero probamos con la versión de distribución.Probamos con la versión estable 2.4.3 y con la de los backport 2.5.3Faltaría probar con la que distribuye shibbolethFue acá que el problema de Luego de ir lideando con varios errores, en particular algunos que decían "XMLtooling is too old", éste es el último error en elmake:Making all in samlsignmake[2]: se ingresa al directorio '/bin/bash ./libtool --silent --tag CXX --mode link g -pthread -Wall -O2 -DNDEBUG -o samlsign samlsign.o ./saml/libsaml.la -lxmltooling-lxml-security-c -lxerces-c -L/usr/lib -llog4cpp -lnsl -lz/usr/bin/ld: warning: libxml-security-c.so.16, needed by /usr/lib/gcc/x86 64-linux-gnu/4.7/./././x86 64-linux-gnu/libxmltooling.so, may conflict : undefined reference to virtual thunk to getExtensionAttributes() const'./saml/.libs/libsaml.so: undefined reference to virtual thunk to xmltooling::AbstractSimpleElement::hasChildren() const'./saml/.libs/libsaml.so: undefined reference to virtual thunk to dren() const'.- Shibboleth: ./configure --with-log4shib /opt/shibboleth-sp --enable-apache-13 --with-apxs /usr/local/apache/bin/apxs --enable-apache-20--with-apxs2 /usr/local/apache2/bin/apxs --prefix /opt/shibboleth-spShibboleth en sí, nunca lo llegamos a compilarOtros tips probados:Para que se considere la librería adecuada, y para probar varias combinaciones de librerías, hicimos trucos en /usr/lib/x86 64-linux-gnu/, con ln, como:root@curie:/usr/lib/x86 64-linux-gnu# ln -sf /opt/shibboleth-sp/lib/libxmltooling.so libxmltooling.soPara tener:root@curie:/usr/lib/x86 64-linux-gnu# ls -la libxmltoo*lrwxrwxrwx 1 root root2022-10-0627 ene 31 2012 libxmltooling-lite.so - libxmltooling-lite.so.5.0.26/8