Journée Fédération d'identité Education/Recherche. Analyse des logs

Documents pareils
Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

Guide Installation Serveur Extensive Testing

Guide Installation Serveur Extensive Testing

Gestion d identités PSL Installation IdP Authentic

Tuto 2 : Configuration Virtual box, Configuration et installation du serveur XiBO

INSTALLATION NG V2.1 D OCS INVENTORY. Procédure d utilisation. Auteur : GALLEGO Cédric 23/10/2014 N version : v1

Installation UpdatEngine serveur (CentOs apache2 / MySQL)

TP LINUX : MISE EN PLACE DU SERVEUR DE MESSAGERIE QMAIL

Linux et le Shell. Francois BAYART. Atelier du samedi 20 Novembre

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com >

REAUMUR-ACO-PRES. Wifi : Point et perspectives

Classe et groupe : 1P 3 SEN TRI. Ubuntu : serveur Contrôleur de Domaine (PDC) avec SAMBA

1 Configuration des Fichiers Hosts, Hostname, Resolv.conf

L installation a quelque peu changée depuis les derniers tutos, voici une actualisation.

Mise en place d un proxy Squid avec authentification Active Directory

Pharmed. gestion de pharmacie hospitalière. Installation / déploiement

sshgate Patrick Guiran Chef de projet support

[ GLPI et OCS pour Gentoo 2006] ArtisanMicro. Alexandre BALMES

Mise en oeuvre TSM 6.1

CONFIGURATION DU SERVEUR DE MAILS EXIM. par. G.Haberer, A.Peuch, P.Saade

Evolutions du guichet de la fédération et gestion des métadonnées SAML

INSTALLATION DEBIAN. Installation par le réseau

Explications sur l évolution de la maquette. Version : 1.0 Nombre de pages : 9. Projet cplm-admin

IceWarp serveur sur Linux : Guide d'installation

Client windows Nagios Event Log

GLPI OCS Inventory. 1. Prérequis Installer un serveur LAMP : apt-get install apache2 php5 libapache2-mod-php5 apt-get install mysql-server php5-mysql

Ocs Inventory et GLPI s appuie sur un serveur LAMP. Je vais donc commencer par installer les paquets nécessaires.

Gestion d identités PSL Exploitation IdP Authentic

Instructions Mozilla Thunderbird Page 1

But de cette présentation. Contrôleur de domaine avec Samba (rédigé pour Ubuntu Server) Introduction. Samba: principes

Cahier des charges fonctionnel

PROCEDURE D'INSTALLATION OPENREPORTS

Gestion des accès, fédération d identités. Olivier Salaün - RENATER

Notes pour l'installation d'une version de Eprints sur une machine CentOS4.2 Stéphanie Lanthier Le jeudi 17 février 2006

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA)

educa.id Gestion d'identité et d'accès

Installation du Hub. Installation du Hub. 1. Description de l installation. by LegalBox. 2 types de serveur sont à installer :

La gestion des identités au CNRS Le projet Janus

Procédure d installation Trixbox - A2Billing

1 Démarrage de Marionnet

WDpStats Procédure d installation

Configurer la supervision pour une base MS SQL Server Viadéis Services

Installation de la plate-forme Liberacces 2.0 «Intégrale» avec LiberInstall

Projet Administration Réseaux

Procédure d installation d AMESim 4.3.0

Support de cours. Administrer Linux avec Webmin. 2003, Sébastien Namèche - 1

Documentation d'installation Plateforme femme actuelle

ACCÈS AUX RESSOURCES NUMÉRIQUES

Serveur DNS et DHCP couplé à LDAP Debian GNU/Linux

GUIDE D INSTALLATION. Portaneo Enterprise Portal version 4.0

Serveur proxy Squid3 et SquidGuard

Sauvegarde automatique des données de GEPI

Bon ben voilà c est fait!

CASE-LINUX MAIL - ROUNDCUBE

Oracle Developer Suite 10g. Guide de l installation. Vista & Seven

Installation du serveur WEB Apache ( MySQL, PHP) sous Debian 7.

Builds et tests Utilisation de CMake et de Dart

Manuel d'exploitation de l'application Vitamin version 1.0

Gestion du projet pour qu'il soit pérenne et collaboratif

Economies d énergie par GPO

Tutoriel compte-rendu Mission 1

Supervision avec OCS Inventory NG

Shibboleth. David Verdin - JOSY "Authentification centralisée pour les applications web" - Paris - 4 février mai

équipement radio Procédure

Tour d horizon des différents SSO disponibles

ftp & sftp : transférer des fichiers

Service Déposant: Procédure d installation. Page 1. Service déposant. Procédure d installation Version 2.3

Sécurité Informatique. Description. Prérequis. Un petit test avant de commencer s embourber

WEB SSO & IDENTITY MANAGEMENT PARIS 2013

Atelier individuel. Linux 101. Frédérick Lefebvre & Maxime Boissonneault frederick.lefebvre@calculquebec.ca U. Laval - Janv. 2014

Prérequis. Installation SNMP sous ESX. Date 19/01/2011 Version 1.1 Référence 001 Auteur Quentin OZENNE

Notes de version de la mise à jour 2 de OpenSSO d'oracle. Beta

Installation d OwnCloud 8.0 sous Debian Avec connexion des utilisateurs active directory et mise en place de HTTPS

Communication technique TC1552 Ed 01 Date: 22/11/2011

La gestion de l'identité en ligne

INSTALLATION DE WINDOWS 2000 SERVER POUR BCDI3. par. G.Haberer, A.Peuch, P.Saadé

Journée Josy/PLUME. Outils logiciels libres utiles à tout ASR SAMBA. Maurice Libes. Centre d'océanologie de Marseille UMS 2196 CNRS

Outils pour la pratique

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

INSTALLATION DE BACKUPPC

Installation de Zabbix

Introduction...3. Objectif...3. Manipulations...3. Gestion des utilisateurs et des groupes...4. Introduction...4. Les fichiers de base...

Table des matières. 1. Installation de VMware ESXI Pré-requis Installation... 3

CommandCenter Secure Gateway

Introduction à Linux (pour le HPC) «Linux 101» Présentation :

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

TP1 - Prise en main de l environnement Unix.

Projet Semestre2-1SISR

ELASTIX CONFIGURATION

Installation FollowMe Q server

WEB page builder and server for SCADA applications usable from a WEB navigator

BOUCHARD Nicolas. GENTILE Pierre

Installation d'un serveur sftp avec connexion par login et clé rsa.

Implémentation libre de Liberty Alliance. Frédéric Péters

Serveur d'application Client HTML/JS. Apache Thrift Bootcamp

Installation et configuration d OCS/GLPI sur un Serveur Debian

MANUEL D INSTALLATION DES PRE REQUIS TECHNIQUES SALLE DES MARCHES V.7

Transcription:

Journée Fédération d'identité Education/Recherche Le 24 janvier 2011 à Paris Analyse des logs des statistiques sur l'utilisation de la fédération Rafael Diaz Maurin 19 janvier 2011 1

Les logs de l'idp Besoin de l'opérateur FedID d'avoir des stats d'utilisation (! [Nb.IDP Nb.SP] ) => Accès aux Stats pour chaque admin d'idp Attention aux données nominatives dans les logs => Récupérer des données quantitatives ou anonymes Fichier concerné : ~/idp-audit.log 1 entrée dans ce journal à chaque envoi vers 1 ressource (Relying Party) Format parsable facilement (séparateur ) nameidentifier et assertionids (ajouts Shib 2.1) 19 janvier 2011 2

Exemple d'1 entrée lors d'un accès à 1 ressource 20110117T160527Z urn:mace:shibboleth:1.0:profiles:authnrequest https://listes.cru.fr/sympa urn:mace:shibboleth:2.0:profiles:saml1:sso urn:mace:cru.fr:federation:sac urn:oasis:names:tc:saml:1.0:profiles:browser-post _d58622da71b339aecf92a19ba8107dd4 rafael.diazmaurin@cru.fr urn:oasis:names:tc:saml:2.0:ac:classes:unspecified edupersonprincipalname,sn,edupersonorgdn,email,tr ansientid,givenname,displayname,preferredlanguage, edupersontargetedid, _f61a2550eda51a380eb68d60971ccd86 _012ff833e01a609df3a5cb787d10fdd3, 19 janvier 2011 3

Exemple d'1 entrée lors d'un accès à 1 ressource 04- relyingpartyid (ressource) => https://listes.cru.fr/sympa => Liste ressources 05- messageprofileid (Id profil SAML utilisé) => urn:mace:shibboleth:2.0:profiles:saml1:sso => Nb logins 09- principalname (utilisateur) => rafael.diazmaurin@cru.fr => Nb utilisateurs différents 19 janvier 2011 4

Configurer les logs côté IDP https://spaces.internet2.edu/display/shib2/idplogging Configuration dans le fichier ~/conf/logging.xml modifs prises en compte automatiquement appender concerné : IDP_AUDIT rotation quotidienne (%d{yyyy-mm-dd}) compression (.gz) tronquer les logs (<Append>false</Append>) Ne fonctionne pas avec l'idp de shibboleth 2.1.5 => patch de shibboleth avec logback >= 0.9.18 La dernière version de l'idp 2.2.1 (13 janvier 2011) utilise logback 0.9.27 => A valider 19 janvier 2011 5

Patch IDP shibboleth avec logback 0.9.18 logback-0.9.17 dans shib 2.1.5 Arrêt des logs après rotation :-( Procédure : 1/ On déploie shib-idp-2.1.5 2/ On supprime logback 0.9.17 3/ On intègre logback 0.9.18 4/ On redéploie shibboleth sans écraser la config Voir support formation IDP 8.6 & 8.7 (avril 2010) https://services-federation.renater.fr/doc/support-tpidp.odt http://logback.qos.ch/ 19 janvier 2011 6

Patch IDP shibboleth avec logback 0.9.18 # cd ~/shib-idp-2.1.5/lib # rm logback-classic-0.9.17.jar # rm logback-core-0.9.17.jar # cd /usr/local/src # wget http://logback.qos.ch/dist/logback-0.9.18.tar.gz # tar -zxvf logback-0.9.18.tar.gz # cp logback-0.9.18/logback-core-0.9.18.jar ~/shib-idp- 2.1.5/lib/ # cp logback-0.9.18/logback-classic-0.9.18.jar ~/shib-idp- 2.1.5/lib/ # cd ~/shib-idp-2.1.5/ #./install.sh 19 janvier 2011 7

Patch IDP shibboleth avec logback 0.9.18 Buildfile: src/installer/resources/build.xml install:!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Be sure you have read the installation/upgrade instructions on the Shibboleth website before proceeding.!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Where should the Shibboleth Identity Provider software be installed? [/opt/shibboleth-idp] [Acceptez ce choix] The directory '/opt/shibboleth-idp' already exists. Would you like to overwrite this Shibboleth configuration? (yes, [no]) no [...] BUILD SUCCESSFUL 19 janvier 2011 8

Patch IDP shibboleth avec logback 0.9.18 # chown -R tomcat /opt/shibboleth-idp/ Vérification : idp.war doit contenir les nouvelles librairies # mkdir /tmp/idp_war # unzip /opt/shibboleth-idp/war/idp.war -d /tmp/idp_war/ Archive: /opt/shibboleth-idp/war/idp.war creating: /tmp/idp_war/meta-inf/ inflating: /tmp/idp_war/meta-inf/manifest.mf [...] # ls -l /tmp/idp_war/web-inf/lib/logback-core-0.9.18.jar # ls -l /tmp/idp_war/web-inf/lib/logback-classic-0.9.18.jar OK : On redémarre le serveur Tomcat : # /etc/init.d/tomcat restart 19 janvier 2011 9

Configuration IDP : ~/conf/logging.xml <configuration scan="true" > <appender name="idp_audit" class="ch.qos.logback.core.rolling.rollingfileappender" > <File>/var/log/shibboleth/idp-audit.log</File> <Append>false</Append> <ImmediateFlush>true</ImmediateFlush> <rollingpolicy class="ch.qos.logback.core.rolling.timebasedrollingpol icy"> <FileNamePattern>/var/log/shibboleth/old/idpaudit-%d{yyyy-MM-dd}.log.gz</FileNamePattern> <!-- <maxhistory>90</maxhistory> --> </rollingpolicy> 19 janvier 2011 10

Idp Audit Log Analysis Tool Contribution de Peter Schrober (Univ. Vienne) https://spaces.internet2.edu/display/shib2/idp+a udit+log+analysis+tool Script python (dépendance) pour parser les logs : loganalysis.py (ligne commande) 1 ou plusieurs fichiers à la fois (rattrapage) Liste des Relying Party (SP EntityID) : -r Nb Relying Party différentes : -c Nb utilisateurs différents (principal name) : -u Nb logins différents : -l Nb logins par SP : -n Utilisation des profils SAML par Relying Party : -m 19 janvier 2011 11

Centralisation des statistiques Contribution fédération hongroise 1 seule instance par fédération : https://services-federation.renater.fr:3443 1 vue administrateur par IDP (TODO) Chaque IDP mouline ses logs 1 fois /jour et envoie le résultat sur le serveur central qui consomme le fichier de résultats log_stats_collector_file.sh crontab : J+1 (+12h) HTTP-Post vers serveur central Dépendances : bash, loganalysis.py, python, g[un]zip, wget 19 janvier 2011 12

Configurer log_stats_collector_file.sh # Entity ID de votre IDP ENTITYID="urn:mace:monidp ou https://monidp" # Clé fournie par les administrateurs de la Fédération APIKEY="40 caractères hexa" # Idp Audit Log Analysis Tool PARSER_COMMAND="/chemin/vers/loganalysis.py" # Répertoire d'accueil des logs après rotation SOURCEDIR="/chemin/vers/log/idp/old" # Localisation de wget WGET=`which wget` 19 janvier 2011 13

Rappel Patcher IDP Shibboleth avec logback Configurer ~/conf/logging.xml Installer le script pour parser les logs (loganalysis.py) Installer le script pour envoyer les stats (log_stats_collector_file.sh) Attendre la domestication de l'appli de visualisation des stats Accéder aux stats de son IDP 19 janvier 2011 14

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back