Procedimento de instalação

Procedimento de instalação do MFA na CAFe versão 4.2.1

Quando a instalação é iniciada, uma série de informações é solicitada. Assim, ANTES de iniciar o processo de instalação, tenha em mãos as seguintes informações:

  • Digite o FQDN da maquina (exemplo: idp.instituicao.br): se trata do FQDN do seu servidor IDP. Exemplo: “idp.instituicao.br”

  • Digite o texto a ser exibido para o usuário de forma que ele saiba o que deve preencher para se autenticar (ex.: Seu email @rnp.br): cada instituição utiliza uma informação diferente para se autenticar, seja o número de matrícula, um email, etc. Neste campo você personaliza o texto que deve ser exibido ao usuário na tela de usuário e senha.

  • Link de recuperação de senha (ex.: https://urlpaginarecuperacaodesenha.instituicao.br): informação opcional. Recomendamos fortemente que preencha esta informação caso tenha uma url que os usuários possam acessar para recuperar a senha.

  • Você está utilizando um ambiente de alta disponibilidade: esta informação se aplica para as instituições que possuem mais de um servidor IDP e que estes servidores operem de forma concomitante, ou seja, em que os servidores estejam ativos ao mesmo tempo. Caso este seja o caso da sua instituição, recomendamos que entre em contato com a equipe da CAfe para realizar uma instalação monitorada, uma vez que a instalação envolve alguns passos adicionais e pontos de atenção adicionais. Caso seja um ambiente de alta disponibilidade, será perguntado as seguintes informações adicionais:

    1. Se o servidor que está sendo instalado é o primário/principal ou se é o servidor secundário: se sua instituição tiver uma instalação com redundância, um dos servidores servidores precisará ser definido como servidor principal. Todos os demais servidores serão considerados como secundários. Assim um ambiente com redundância terá um servidor principal e um ou mais servidores secundários. Recomendamos a leitura da seção que detalha pontos importantes associados a ambientes com redundância.

    2. Digite o endereço IP do servidor primário: deve ser o IP do servidor definido como servidor principal

    3. Digite o endereço IP do servidor secundário: informação solicitada SOMENTE caso esteja instalando o servidor secundário. deve ser o IP do servidor secundário que está sendo instalado. ATENÇÃO, só instale o servidor secundário caso o servidor já tenha sido instalado.

  • Digite o nome do usuário administrador (ex.: Joao da Silva). Será criada uma conta inicial de administrador para o usuário em questão: quando o painel de segurança é instalado, é cadastrado automaticamente um usuário inicial que receberá permissão de administrador. Será este usuário que irá atribuir permissões de administrador e operador a outros usuários. Certifique que todos os dados do usuário administrador inicial foi cadastrado corretamente

  • Digite o e-mail do usuário administrador (deve ser o mesmo cadastrado no IDP): associado ao cadastro do administrador. Deve ser o MESMO e-mail que o usuário tem cadastrado no IDP da instituição.

  • Digite o EPPN do usuario administrador (somente o valor antes do @). Exemplo, se valor de eppn for abc@instituicao.br, deve ser cadastrado somente abc: associado também ao cadastro do administrador. O EPPN na maior parte das instituições é o MD5 do username. Em caso de dúvidas do valor, peça para o usuário administrador acessar a url https://sp.rnp.br/ e se autenticar. Após a autenticação, será exibida a informação eduPerson-eduPersonPrincipalName. Pegue a informação que vem antes do @. Exemplo, se foi retornado “698dc19d489c4e4db73e28a713eab07b@instituicao.br”, o valor que deve ser copiado é somente “698dc19d489c4e4db73e28a713eab07b”

Somente após ter as informações indicadas em mãos, inicie os passos de instalação indicados na próxima seção.

Instalação

Toda a instalação é realizada através de um script. Este script faz diversos procedimentos, sendo:

  1. Download dos arquivos necessários para a instalação;

  2. Cópias dos arquivos baixados para os locais de instalação;

  3. Geração de chaves de criptografia adicionais necessários;

  4. Instalação da base de dados;

  5. Solicita as informações necessárias para a instalação (atenção à seção anterior);

  6. Realiza a instalação.

ATENCÃO

Antes de iniciar a instalação certifique-se que o servidor está acessando adequadamente a Internet e que não terá nenhuma regra de firewall impedindo que o mesmo baixe o pacote de instalação associados. O script deve ser executado com um usuário com permissões de root.

Execução do procedimento

  • Baixe o script de instalação na pasta /tmp;

  • Dê permissão de execução para o script: chmod +x mfa-install-v1.sh

  • Execute o script: /tmp/mfa-install-v1.sh

cd /tmp/
wget https://svn.cafe.rnp.br/repos/CAFe/idp-files-v421/mfa/mfa-install-v1.sh
chmod +x mfa-install-v1.sh
./mfa-install-v1.sh

Após finalizar a instalação, alguns passos manuais são necessários serem executados.

Siga os passos indicados a seguir. Caso se trate de ambiente com redundância, veja os procedimentos descritos na seção “Ambiente com Redundância”.

  1. Editar o arquivo “/opt/shibboleth-idp/conf/attribute-filter.xml”: é necessário editar o arquivo em questão para que o painel de segurança receba as credenciais do IDP. Para isso adicione a linha a seguir, substituindo [FQDN] pelo FQDN do servidor:

<Rule value="https://[FQDN]/sp/saml2/service-provider-metadata/dashboard" xsi:type="Requester" />

Supondo que o FQDN seja idp.instituicao.br, ficaria algo como a seguir:

...
<AttributeFilterPolicyGroup id="ShibbolethFilterPolicy"
    xmlns="urn:mace:shibboleth:2.0:afp"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="urn:mace:shibboleth:2.0:afp http://shibboleth.net/schema/idp/shibboleth-afp.xsd">

    <AttributeFilterPolicy id="releaseToAnyone">

        <PolicyRequirementRule xsi:type="ANY"/>

        <AttributeRule attributeID="eduPersonTargetedID">
            <PermitValueRule xsi:type="ANY" />
        </AttributeRule>

    </AttributeFilterPolicy>
    
    <AttributeFilterPolicy id="releaseToChimarraoOrCafe">

        <PolicyRequirementRule xsi:type="OR">
            <Rule value="https://sp.rnp.br/aacli" xsi:type="Requester" /> 
            <Rule value="https://idp.instituicao.br/sp/saml2/service-provider-metadata/dashboard" xsi:type="Requester" />
            <Rule groupID="urn:mace:shibboleth:cafe" xsi:type="InEntityGroup" />
            <Rule groupID="urn:mace:shibboleth:cafe:chimarrao" xsi:type="InEntityGroup" />
        </PolicyRequirementRule>        
...

Editar o arquivo “/opt/shibboleth-idp/conf/metadata-providers.xml”. É necessário adicionar neste arquivo uma entrada para que o IDP reconheça o Painel de Segurança como uma aplicação confiável.

Para isso adicione a linha a seguir, substituindo [FQDN] pelo FQDN do servidor. A linha em questão deve ser adicionada ao final do arquivo, antes de “</MetadataProvider>”.

 ...
   <MetadataProvider id="sp-mfa"
            xsi:type="FileBackedHTTPMetadataProvider"
            backingFile="%{idp.home}/metadata/dashboard-metadata.xml"
            metadataURL="https://[FQDN]/sp/saml2/service-provider-metadata/dashboard"
            failFastInitialization="false"/>
 ...

Editar o arquivo “/etc/apache2/sites-available/01-idp.conf”: a alteração é necessária para que o apache redirecione adequadamente os acessos ao painel de segurança.

Adicionar as linhas a seguir antes de “</VirtualHost>":

Header set Cache-Control "no-cache"
RedirectMatch 204 favicon.ico
Redirect "/" "/sp"
ProxyPass /sp http://localhost:9090/sp
ProxyPassReverse /sp http://localhost:9090/sp

ATENÇÃO, caso o arquivo já possua alguma entrada de Redirect para "/", remover a entrada em questão antes de adicionar as configurações acima.

PreviousRequisitos de instalação do MFANextConfigurações Importantes

Last updated