Gestion d identités PSL Installation IdP Authentic



Documents pareils
Gestion d identités PSL Exploitation IdP Authentic

Installation d OwnCloud 8.0 sous Debian Avec connexion des utilisateurs active directory et mise en place de HTTPS

Serveur de partage de documents. Étude et proposition d'une solution afin de mettre en place un serveur de partage de documents.

Réaliser un inventaire Documentation utilisateur

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

Authentification unique Eurécia

Installation de la plate-forme Liberacces 2.0 «Intégrale» avec LiberInstall

Autorité de certification

Serveur Linux : FTP. Mise en place d un service FTP sous Linux. Bouron Dimitri 20/04/2014

Serveur Web Apache - SSL - PHP Debian GNU/Linux

La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014

Tour d horizon des différents SSO disponibles

Procédure d'installation

Installation du serveur WEB Apache ( MySQL, PHP) sous Debian 7.

NOTE: Pour une meilleure sécurisation, nous vous recommandons de faire l installation des outils web à l intérieur d un serveur virtuel.

Live box et Nas Synology

Les différentes méthodes pour se connecter

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Fonctionnement et mise en place d un reverse proxy sécurisé avec Apache. Dimitri ségard 8 mai 2011

Procédures informatiques administrateurs Création d un serveur FTP sous Linux

Déploiement d OCS 1.02 RC2 sous Debian Etch 64

Tuto 2 : Configuration Virtual box, Configuration et installation du serveur XiBO

INSTALLATION ET CONFIGURATION DE OPENLDAP

Evolutions du guichet de la fédération et gestion des métadonnées SAML

POVERELLO KASONGO Lucien SIO 2, SISR SITUATION PROFESSIONNELLE OCS INVENTORY NG ET GLPI

Installation et configuration d OCS/GLPI sur un Serveur Debian

Mise en place d un firewall d entreprise avec PfSense

SÉCURITÉ DU SI. Mini PKI. Denoun Jérémy De Daniloff Cyril Bettan Michael SUJET (3): Version : 1.0

Atelier Le gestionnaire de fichier

BTS SIO SISR3 TP 1-I Le service Web [1] Le service Web [1]

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA)

Mise en place d un serveur DNS sous linux (Debian 6)

Linux et le Shell. Francois BAYART. Atelier du samedi 20 Novembre

2013 Installation de GLPI-OCS. Florian MICHEL BTS SIO LYCEE SAINTE URSULE

Retour sur les déploiements eduroam et Fédération Éducation/Recherche

Afin d'éviter un message d'erreur au démarrage du service Apache du type :

1. Mise en œuvre du Cegid Web Access Server en https

Installation UpdatEngine serveur (CentOs apache2 / MySQL)

Sun Java System Access Manager Notes de version pour Microsoft Windows

TP 7, 8 & 9 : Installation et Gestion de GLPI et Télédéploiement SISR 1 HUBERT JULIEN LABBE RICHARD DAY MICKAEL DOGNY CHRISTOPHE

NRPE. Objectif. Documentation. Procédures

Installation GLPI-OCSNG-SSL Linux Debian Sarge

FileMaker Server 14. Aide FileMaker Server

Installation et configuration de Vulture Lundi 2 février 2009

6605 MFP 3615 MFP. Sommaire : Paramètres généraux. Réglages de l Horloge et des Bacs. Paramètre Copie (par défaut) Paramètres Réseaux (IP)

Déploiement d'un serveur ENT

Shibboleth. David Verdin - JOSY "Authentification centralisée pour les applications web" - Paris - 4 février mai

PPE Installation d un serveur FTP

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

ENVOLE 1.5. Calendrier Envole

L installation a quelque peu changée depuis les derniers tutos, voici une actualisation.

Formation owncloud Thierry DOSTES - Octobre

MESSAGERIE BUREAU AGENDA VIRTUEL. Votre nouvelle messagerie COLLABORATIVE GUIDE PRATIQUE. Membre de

TP HTTP. Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A

ADF Reverse Proxy. Thierry DOSTES

Imprimantes et partage réseau sous Samba avec authentification Active Directory

Documentation FOG. 3. Choisir le nom de la machine, le nom d utilisateur et le mot de passe correspondant (par exemple : fog, password)

Pas-à-pas : activer WebDAV pour le partage des fichiers iwork sur ipad

0.1 Mail & News : Thunderbird

Notice d utilisation du serveur SE3 (Samba Édu 3) Version «élèves» 2.4 Lycée Jean-Pierre TIMBAUD

Plan. Présentation du logiciel Sympa Architecture La gestion des hôtes virtuels Listes avec inclusion des abonnés Les modules d authentification

Créer et partager des fichiers

TP PLACO. Journées Mathrice d'amiens Mars 2010

Exemple : vous voulez tester votre site en local avant de l uploader via FTP chez votre hébergeur externe.

Integration à un domaine AD SOMMAIRE

Installation d un serveur HTTP (Hypertext Transfer Protocol) sous Débian 6

Emmanuel Dreyfus, janvier 2011 Emmanuel Dreyfus, janvier 2011

GUIDE D INSTALLATION. Portaneo Enterprise Portal version 4.0

Ocs Inventory et GLPI s appuie sur un serveur LAMP. Je vais donc commencer par installer les paquets nécessaires.

FTP-SSH-RSYNC-SCREEN au plus simple

Guide d installation de Gael

Solution d inventaire automatisé d un parc informatique et de télédistribution OCS INVENTORY NG. EHRHARD Eric - Gestionnaire Parc Informatique

Présentation, mise en place, et administration d'ocs Inventory et de GLPI

SAML et services hors web

Netstorage et Netdrive pour accéder à ses données par Internet

Installation d'un serveur sftp avec connexion par login et clé rsa.

Serveur de messagerie sous Debian 5.0

COMMUNICATION TECHNIQUE N TCV060 Ed. 01. OmniVista 4760 Nb de pages : 18 Date : URGENTE NON URGENTE TEMPORAIRE DEFINITIVE

Configurer OCS Inventory NG comme outil d inventaire

Installation / Sauvegarde Restauration / Mise à jour

Configuration du nouveau Bureau Virtuel (BV) collaboratif de Lyon I

PPe jaune. Domingues Almeida Nicolas Collin Leo Ferdioui Lamia Sannier Vincent [PPE PROJET FTP]

Guide d installation rapide

Serveur Subversion Debian GNU/Linux

Vade mecum installation et configuration d une machine virtuelle V5.1.0

Préparation d un serveur Apache pour Zend Framework

Étape 1 : gérer les certificats

HYPERPLANNING EST UN LOGICIEL INDEX EDUCATION

Configuration de Gentoo 12.x

Stage SambaÉdu Module B. Jour 9 Outils complémentaires et problèmes récurrents divers

1 INTRODUCTION 2 2 PRE-REQUIS Export du certificat du serveur Date et heure du système Téléchargement du logiciel du terminal 2

Note : Ce tutoriel a été réalisé sur GNU/Linux (Ubuntu) avec un serveur LAMP installé en local.

Installation d un Serveur de Messagerie

GLPI OCS Inventory. 1. Prérequis Installer un serveur LAMP : apt-get install apache2 php5 libapache2-mod-php5 apt-get install mysql-server php5-mysql

Configuration matériel. Tâche 2 : Installation proprement dite de l application sur un serveur de test virtualisé sous VmWare Workstation.

Création, analyse de questionnaires et d'entretiens pour Windows 2008, 7, 8 et MacOs 10

Service de Messagerie évoluée. Guide Utilisateur. Novembre 2006 Messagerie évoluée Completel Guide Utilisateur 1

Transcription:

Gestion d identités PSL Installation IdP Authentic Entr ouvert SCOP http ://www.entrouvert.com 2 avril 2015 Table des matières 1 Installation du système de base 1 1.1 Rappel sur la la synchronisation des horloges.................. 2 2 Installation du composant IdP Authentic2 2 3 Configuration d Authentic2 3 3.1 Installation d un certificat spécifique pour SAML................. 4 3.2 Connexion au serveur LDAP en SSL/TLS..................... 5 4 Configuration d Apache pour exposer Authentic 6 4.1 Installation d un certificat pour HTTPS...................... 7 4.2 Adaptations de la configuration Apache..................... 8 5 Validation dans la fédération de test Renater 8 5.1 Inscription du fournisseur dans la fédération................... 8 5.2 Connaissance de la fédération de test par l IdP.................. 9 6 Historique du document 10 1 Installation du système de base La procédure décrite dans cette documentation doit être effectuée après l installation du système de base décrite dans la documentation «Gestion d identités PSL Installation de base». 1

1.1 Rappel sur la la synchronisation des horloges Il est très important de faire en sorte que toutes les machines de la solution soient à l heure. Dans le cas d un IdP, toutes les assertions SAML/Shibboleth reçues et envoyées sont datées et seront refusées si elles ne sont pas bien à l heure (exemple de message d erreur sur une ressource : Message rejected, was issued in the future.). Pour assurer la mise à l heure de votre machine, vous pouvez installer le paquet ntp : # apt-get install ntp Éventuellement, si vous disposez d un serveur NTP local, vous pouvez l indiquer dans le fichier /etc/ntp.conf. Par défaut, ntp utilise les serveurs du projet Debian (*.debian.pool.ntp.org). Note : le paquet ntp n est pas installé par défaut car certains systèmes de virtualisation peuvent proposer une horloge système déjà synchronisée par la machine hôte. 2 Installation du composant IdP Authentic2 Installer le paquet authentic2-supann : # apt-get install authentic2-supann Cette installation va déclencher l installation de tous les composants logiciels (paquets) nécessaires à la mise en place du fournisseur d identités (Identity Provider) connectable avec un annuaire SUPANN 2009. Lors de l installation il vous sera demandé un «Mot de passe de connexion PostgreSQL pour authentic2» : tapez juste [Enter], un mot de passe aléatoire sera généré (vous n aurez pas besoin de le connaître, il sera automatiquement configuré sur PostgreSQL et Authentic). La configuration se fait ensuite en deux étapes 2

configuration du logiciel Authentic proprement dit connexion du logiciel avec le serveur web Apache 3 Configuration d Authentic2 Modifier le fichier /etc/authentic2/supann.conf pour faire correspondre les valeurs avec celles de la base créée dans l annuaire LDAP (lors de la commande slapd-supann newdb) et renseigner la fédération dans laquelle sera intégrée le fournisseur d identités. Note : les éditeurs vi ou nano sont disponibles pour cela. Si vous êtes débutant sous Linux, préférez l éditeur nano, plus accessible. Vous pouvez aussi installer d autres éditeurs (apt-get install vim ou apt-get instal emacs) # nano /etc/authentic2/supann.conf Le fichier est un script shell, attention à la syntaxe, n ajoutez pas d espace avant ou après le signe =, conservez bien les export, etc. Après modification de ce fichier, relancer le service authentic2 pour qu il prenne en compte les nouveaux paramètres : /etc/init.d/authentic2 restart Exemple d un fichier renseigné avec liaison avec la fédération de test Renater : # Configuration du LDAP # # URL de l'annuaire LDAP export SUPANN_LDAP_URL='ldap ://192.168.43.23/' # Base DN de l'annuaire LDAP export SUPANN_LDAP_BASE_DN='dc=quelquechose,dc=fr' # Bind DN pour connexion à l'annuaire LDAP (optionnel) export SUPANN_LDAP_BINDDN='uid=admin,ou=people,dc=quelquechose,dc=fr' # Bind Password pour connexion à l'annuaire LDAP (optionnel) export SUPANN_LDAP_BINDPW='as ;KUAq*6123' # Données de fédération # Fédération Renater de production # URL des métadonnées # RENATER_METADATA=https ://federation.renater.fr/renater/renater-metadata.xml # URL des règles de filtrage des attributs 3

# RENATER_ATTRIBUTE_FILTERS=https ://federation.renater.fr/renater/filtres/renater-a # URL du certificat de signature des métadonnées # RENATER_CERTIFICATE=https ://federation.renater.fr/renater/metadata-federation-ren # Fédération de Test export RENATER_METADATA='https ://federation.renater.fr/test/renater-test-metadata.xml export RENATER_ATTRIBUTE_FILTERS='https ://federation.renater.fr/test/filtres/renaterexport RENATER_CERTIFICATE='https ://federation.renater.fr/test/metadata-federation-re # Raccordement EduGain # Nom de l'organisation export EDUGAIN_SCHAC_HOME_ORGANIZATION="Université de QuelquePart" # Type de l'organisation export EDUGAIN_SCHAC_HOME_ORGANIZATION_TYPE="urn :schac :homeorganizationtype :int :un # # Local port for listening -- NE PAS MODIFIER export BIND='127.0.0.1 :8080' # Utiliser TLS pour communiquer avec le serveur LDAP, 0 pour désactiver, 1 pour # activer, vous devez au préalable vous assurez que le certificat de votre # serveur LDAP sera reconnu, par exemple en le déclarant dans # /etc/ldap/ldap.conf avec la ligne # TLS_CAPATH /chemin/du/certificat_ou_du_certificat_racine export USE_TLS=0 Le reste de la configuration d Authentic, automatiquement modifiée par le paquet authentic2-supann, est déjà conforme à SUPANN 2009. 3.1 Installation d un certificat spécifique pour SAML Lors de l installation du paquet authentic2-supann, un certificat X.509 est généré pour la partie SAML 2.0 / Shibboleth. Il s agit d un certificat autosigné, valable 10 ans. Si la fédération dans laquelle sera inscrite l IdP nécessite un certificat SAML avec d autres critères, il faudra le générer par la méthode qui sera indiquée, puis le poser à la place du certificat installé par défaut : /etc/authentic2/cert.pem : le fichier du certificat X.509 /etc/authentic2/key.pem : la clé privée correspondante Ces fichiers doivent être lisibles par l utilisateur système authentic et la clé privée ne doit, par définition, pas être publique. Le réglage de ces droits d accès peut se faire ainsi : 4

# chown authentic :authentic /etc/authentic2/cert.pem # chmod 644 /etc/authentic2/cert.pem # chown root :authentic /etc/authentic2/key.pem # chmod 640 /etc/authentic2/cert.pem Une fois ces fichiers mis en place, il faut relancer le service : # /etc/init.d/authentic2 restart 3.2 Connexion au serveur LDAP en SSL/TLS Pour demander à Authentic se connecte au serveur LDAP en TLS vous pouvez soit utiliser une URL de LDAP ayant comme mécanisme ldaps :// ou bien définir USE_TLS à 1 dans le fichier /etc/authentic2/supann.conf pour utiliser la commande STARTLS sur une connexion LDAP en clair. Attention, le certificat du serveur LDAP doit être valide. Si ce n est pas le cas (par exemple lors de tests) vous devez modifier la configuration du client LDAP du système et lui dire de toujours accepter les certificat. Pour ce faire, ajouter la ligne suivante dans /etc/ldap/ldap.conf : TLS_REQCERT never Pour activer la validation d un certificat valide au final, le fichier /etc/ldap/ldap.conf doit ressembler à cela (en changeant le chemin vers le certificat) : # cat /etc/ldap/ldap.conf # Exemple d'un fichier /etc/ldap/ldap.conf qui accepte # n'importe quel certificat serveur # See ldap.conf(5) for details # This file should be world readable but not world writable. # TLS certificates (needed for GnuTLS) TLS_CACERT /chemin/du/certificat/ldap.pem TLS_REQCERT hard Le fichier de certificat doit être lisible par l utilisateur authentic. 5

4 Configuration d Apache pour exposer Authentic Le serveur HTTP Apache est déjà installé par authentic2-supann. Il reste à le configurer. Une configuration par défaut est fournie qu il suffit d activer, voici la procédure pour cela. Activer les modules nécessaires à Apache : # a2enmod ssl # a2enmod headers # a2enmod proxy_http Puis activer la configuration par défaut du site qui exposer Authentic : # a2ensite authentic2-supann.conf Il faut ensuite indiquer le ServerName au niveau de la configuration du site, dans le début du fichier /etc/apache2/sites-enabled/authentic2-supann.conf : # nano /etc/apache2/sites-enabled/authentic2-supann.conf Par exemple : # extrait de /etc/apache2/sites-enabled/authentic2-supann.conf # où il faut modifier le ServerName <VirtualHost * :443> ServerName idp.quelquechose.fr # <-- indiquer ici le nom DNS de la machine... Enfin, relancer le service apache2 pour prendre en compte ces modifications de sa configuration : # service apache2 restart L interface est alors accessible sur https ://idp.quelquechose.fr 6

Pour se connecter, utiliser l identifiant admin et le mot de passe choisi lors de la création de la base sur le serveur LDAP (newdb). 4.1 Installation d un certificat pour HTTPS Le certificat installé par défaut pour Apache est bien entendu invalide. Pour installer un certificat valide (correspondant au nom du serveur et signé par une auto- 7

rité reconnu) il faut en copier les clés un répertoire, par exemple /etc/apache2/ssl qui peut être créé pour l occasion, puis indiquer l emplacement des clés dans la configuration /etc/apache2/sites-enabled/authentic2-supann.conf : # extrait de /etc/apache2/sites-enabled/authentic2-supann.conf (...) SSLCertificateFile /etc/apache2/ssl/certificate.pem SSLCertificateKeyFile /etc/apache2/ssl/private-key.key Ensuite relancer le service pour prendre en compte la modification # service apache2 restart 4.2 Adaptations de la configuration Apache Le fichier authentic2-supann.conf fourni par la solution pour configurer Apache est un modèle, un exemple. Si vous connaissez bien la configuration Apache pour exposer un service PHP, et/ou si vous avez des besoins spécifiques de configuration, vous pouvez tout à fait créer votre propre configuration Apache. Vous pouvez même utiliser un autre serveur HTTP. Cependant, la solution n est supportée que pour Apache et pour un fichier de configuration qui ne soit pas trop distant du modèle authentic2-supann.conf. 5 Validation dans la fédération de test Renater Le préalable pour cette opération est de disposer d un compte sur la fédération, au minimum un compte CRU. Les comptes CRU sont des comptes ouverts à toute personne disposant d une email, pour se créer un compte il faut aller sur https://cru.renater.fr/sac/. 5.1 Inscription du fournisseur dans la fédération L inscription d un fournisseur dans la fédération se fait sur le guichet de la fédération à l adresse https://federation.renater.fr/registry. Voici la procédure détaillée pour y inscrire un IdP Authentic nouvellement installé. Tout d abord aller sur https://federation.renater.fr/registry, choisir son IdP de connection dans la boite en haut à droite. 8

Désormais sur la page d accueil, cliquer sur «Ajouter un fournisseur d identités» Une page s affiche qui demande les informations techniques concernant le fournisseur à déclarer. Voici les réponses à donner : Intitulé du fournisseur d identités : le nom de votre fournisseur d identité par exemple Chimie-ParisTech Intitulé du fournisseur d identités (en anglais) : la même chose en anglais pour Edugain domaine : le ou les noms de domaine de votre établissement description en français et en anglais Cliquer sur l onglet Rattachement à un organisme et n en sélectionner aucun Cliquer sur l onglet Contacts et renseigner les informations de contact technique Cliquer sur l onglet Informations techniques et indiquer les informations suivantes : EntityID : https ://idp.quelquechose.fr/idp/saml2/metadata (remplacer le nom idp.quelquechose.fr par celui de votre machine) URL du profil SAML2/POST/SSO : https ://idp.quelquechose.fr/idp/saml2/sso URL du profil SAML2/Redirect/SSO : https ://idp.quelquechose.fr/idp/saml2/sso Certificat X.509 : il faut ici recopier le contenu de la balise XML X509Certificate que vous trouverez dans le fichier XML à l URL https ://idp.quelquechose.fr/idp/saml2/meta Ce même contenu est aussi visible dans le fichier /etc/authentic2/cert.pem sur le serveur où est installé Authentic (attention, enlever les l entête et le pied de page du fichier, -----BEGIN CERTIFICATE----- et -----END CERTIFICATE----- avant de copier son contenu dans l interface du guichet Renater) Aller à l onglet Soumettre et valider 5.2 Connaissance de la fédération de test par l IdP Il est nécessaire de configurer l IdP sur la fédération de test, pour cela commenter les lignes concernant la fédération de production de production dans /etc/authentic2/supann.conf 9

et activez celles qui concernent la fédération de test : # extrait de /etc/authentic2/supann.conf pour fédération de test # Fédération de production : lors des test, à commenter avec un # en début de ligne #export RENATER_METADATA=https ://federation.renater.fr/renater/renater-metadata.xml #export RENATER_ATTRIBUTE_FILTERS=https ://federation.renater.fr/renater/filtres/ren #export RENATER_CERTIFICATE=https ://federation.renater.fr/renater/metadata-federati # Fédération de test : lors des test, activer ces lignes export RENATER_METADATA=https ://federation.renater.fr/test/renater-test-metadata.xml export RENATER_ATTRIBUTE_FILTERS=https ://federation.renater.fr/test/filtres/renater-t export RENATER_CERTIFICATE=https ://federation.renater.fr/test/metadata-federation-ren Ensuite mettre à jour les métadonnées de la fédération via la commande suivante : # su -s /bin/sh -c /usr/lib/authentic2-supann/update-renater-meta.sh authentic Note : cette opération est aussi automatisée toutes les heures. Les autres services de la fédération mettent normalement à jour les métadonnées de la fédération toutes les heures, il faudra donc attendre au moins une heure suite à l inscription pour pouvoir commencer les tests. Pour test, vous pourrez aller sur la ressource de test mise à disposition par Renater à l adresse https://services.renater.fr/federation/test/ressource. Vous serez renvoyé sur le service de découverte et devrez choisir dans le menu le nom donné à votre IdP. Note : le service de test ne gérant pas la déconnexion, il faudra effacer vos cookies pour recommencer un test. 6 Historique du document 20150217 tnoel première version 10

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back