Úprava nastavení IdP

Základná kontrola logov a funkčnosti

Shibboleth IdP zapisuje logy do súboru: /opt/shibboleth-idp/logs/idp-process.log.

Pozornosť odporúčame venovať správam “WARN” a “ERROR”.

V prípade vážnejšieho chybového stavu inštalácia Jetty zapisuje logy do suboru:

v Debian 10: /var/log/jetty9/jetty-console.log

Chybové hlásenia skontrolujeme aj pomocou IdP status:

/opt/shibboleth-idp/bin/status.sh

Pred testovaním prihlásenia sa k webovej službe v prehliadači môžeme otestovať funkčnosť konfigurácie prekladu a uvoľňovania atribútov aacli:

Napríklad pre demosp.sanet.sk službu (za parametrom -r nasleduje entityID služby):

/opt/shibboleth-idp/bin/aacli.sh -n username -r https://demosp.sanet.sk/sp

V prípade funkčnosti testu pomocou aacli môžeme v prehliadači vyskúšať reálne prihlásenie a uvoľňovanie atribútov.

Attribute Authority Command Line Interface (AACLI) https://wiki.shibboleth.net/confluence/display/IDP4/AACLI

Prihlásenie k demo službe je momentálne k dispozícií na nasledovnej adrese (voľba “authentication source” zvoľte “safeid”):

https://demosp.sanet.sk/simplesaml/module.php/core/authenticate.php

Prihlasovacia stránka Shibboleth IdP

Prihlasovacia stránka, ktorú zobrazuje Shibboleth je editovateľný template súbor login.vm nachádzajúci sa v umiestnení: /opt/shibboleth-idp/views/login.vm.

Predvolená podoba stránky sa nachádza v adresári: /opt/shibboleth-idp/dist/views/.

Detailnejšie informácie sú k dispozícii v dokumentácii Shibboleth IdP 4 v sekcii AuthenticationConfiguration, konkretne na stránke PasswordAuthnConfiguration (Basic Features):

https://wiki.shibboleth.net/confluence/display/IDP4/PasswordAuthnConfiguration#PasswordAuthnConfiguration-BasicFeatures

Zobrazenie loga služby je potrebné povoliť v súbore jetty-rewrite.xml, upraviť “Content-Security-Rule”, v rámci nej uvoľniť zdroj obrázkov a napríklad zahrnúť všetky HTTPS stránky:

img-src: 'self' zmeniť na: img-src: 'self' https:

Debian 10: /etc/jetty9/jetty-rewrite.xml

Príklad:

 <!-- Content-Security-Policy -->
                <Call name="addRule">
                    <Arg>
                        <New class="org.eclipse.jetty.rewrite.handler.HeaderPatternRule">
                            <Set name="pattern">*</Set>
                            <Set name="name">Content-Security-Policy</Set>
                            <Set name="value">default-src 'self'; style-src 'self'; script-src 'self' 'unsafe-inline'; img-src 'self' https:; font-src 'self'; frame-ancestors 'none'</Set>
                        </New>
                    </Arg>
                </Call>

Obsah konkrétnych premenných, ktoré sú definované v súboroch v adresári /opt/shibboleth-idp/system/messages/messages.properties môžeme redefinovať v súboroch v adresári /opt/shibboleth-idp/messages/ napríklad v /opt/shibboleth-idp/messages/messages.properties:

Debian 10: /opt/shibboleth-idp/system/messages/messages.properties

idp.logo = /images/university-logo.png
idp.logo.alt-text = Example University
idp.footer = Example University IdP

root.footer = Example University IdP

Detailnejšie informácie sú k dispozícii v dokumentácii Shibboleth IdP v4 na stránke s názvom “MessagesTranslation”.

https://wiki.shibboleth.net/confluence/display/IDP4/MessagesTranslation