Guia de Instalação Shibboleth SP (3.4)
Last updated
Was this helpful?
Last updated
Was this helpful?
O Shibboleth SP v3 oferece suporte ao formato de configuração do SP v2, tornando os arquivos de configuração do SP v2 compatíveis com o SP v3.
Verifique o arquivo shibd.log para encontrar avisos de elementos de configuração obsoletos (deprecation warnings).
O guia de migração fornece instruções sobre como atualizar sua configuração para eliminar os avisos de elementos legados.
Este guia descreve a instalação de um Shibboleth Service Provider (SP) 3.4 nos sistemas operacionais Linux/Unix, conforme suportado pelo Shibboleth Consortium. As instruções são genéricas e não específicas para federações.
Não testamos o SP em todas as versões de sistemas operacionais, então, por favor, relate qualquer problema que encontrar.
Verifique e confirme os requisitos de sistema do Shibboleth SP 3 antes de prosseguir.
Selecione o tipo de sistema operacional no host onde o Shibboleth Service Provider será instalado:
Red Hat Enterprise Linux 7/8/9, Rocky Linux 8/9, Ubuntu 22/23/24, Debian 11/12 ou CentOS Linux 7 ou Amazon Linux 2/2023.
Se você usar uma distribuição Linux não listada acima que inclua um pacote Shibboleth SP atualizado, pode tentar instalar este.
Se o Service Provider já estiver instalado, continue para o Guia de Configuração do Switch Shibboleth Service Provider, específico para federações.
Nota sobre o CentOS 8 Desde setembro de 2023, o Shibboleth Consortium não oferece mais suporte ao CentOS 8 como plataforma oficialmente suportada.
Nota para instalações Debian e Ubuntu que utilizavam o repositório antigo pkg.switch.ch: Conforme anunciado anteriormente, o repositório não está mais disponível. Use os pacotes dos canais de distribuição oficiais do Debian e Ubuntu.
Para remover o repositório SWITCHaai do sistema:
Desinstale os pacotes shibboleth e switchaai-apt-source.
Remova qualquer configuração APT restante para este repositório (se houver). Isso não desinstalará o Shibboleth SP, e os pacotes SWITCHaai SP instalados permanecerão até que uma versão mais recente esteja disponível no repositório oficial da distribuição.
Comandos sugeridos:
O projeto Shibboleth mantém seu próprio repositório, que fornece os binários oficiais do Shibboleth Service Provider e suas dependências para distribuições Linux baseadas em RPM. Este repositório sempre contém a versão mais atualizada do Shibboleth Service Provider. Portanto, é recomendável utilizar este repositório e seus pacotes, em vez dos pacotes fornecidos pela distribuição do sistema operacional.
Os seguintes softwares são opcionais, mas recomendados para a instalação e operação do Service Provider:
NTP:
Os servidores que executam o Shibboleth precisam ter o horário do sistema sincronizado para evitar erros de diferença de relógio. Por isso, é recomendado ativar o ntp, chrony ou algum outro mecanismo de sincronização de tempo.
sudo:
Recomenda-se instalar o sudo para comandos que exigem privilégios de root. O sudo pode ser instalado como usuário root utilizando:
Debian, Ubuntu:
Red Hat Enterprise Linux, CentOS:
Rocky Linux:
curl:
Para baixar softwares e arquivos de configuração, recomenda-se utilizar o curl. Caso prefira, você pode substituir os comandos do curl por outra ferramenta, como o wget.
O curl pode ser instalado com:
Debian, Ubuntu:
Red Hat Enterprise Linux, CentOS 7:
Rocky Linux 8/9:
SSL habilitado para Apache:
Recomenda-se fortemente habilitar e configurar o módulo SSL do Apache (mod_ssl) para suportar HTTPS (por exemplo, com sudo a2enmod ssl; sudo a2ensite default-ssl no Debian/Ubuntu).
Por padrão, as mensagens do Shibboleth que contêm atributos de usuário são criptografadas. Embora possam ser enviadas por HTTP inseguro, qualquer acesso baseado em sessão via HTTP inseguro está sujeito a ataques de sequestro de sessão. Isso inclui sessões do Shibboleth. Usar HTTPS mitiga significativamente esse risco.
Antes de continuar para a próxima seção, certifique-se de que os requisitos acima foram atendidos no sistema onde o Shibboleth Service Provider será instalado.
Instale o Shibboleth Service Provider.
Instalação do Shibboleth Service Provider Se uma versão anterior do Service Provider já estiver instalada no sistema, pode ser solicitado que você escolha entre manter os arquivos de configuração existentes ou substituí-los pelos arquivos padrão do pacote. Recomenda-se manter os arquivos de configuração antigos.
Você pode continuar usando os arquivos antigos na maioria dos casos. No entanto, é necessário atualizá-los para eliminar os avisos de elementos de configuração obsoletos. Geralmente, é recomendável realizar uma configuração limpa, conforme descrito no guia de configuração mencionado.
Para Debian e Ubuntu, instale o pacote Shibboleth com:
Após instalar o pacote, inicie e habilite o daemon shibd:
O Shibboleth fará download automático de arquivos de metadados e CRL. Se a política da sua rede não permitir conexões de saída na porta 80 por padrão, é recomendável configurar um proxy HTTP para conexões de saída.
Adicione a seguinte linha em /etc/sysconfig/shibd:
O Service Provider agora deve estar instalado no sistema. Os diretórios de interesse são:
/etc/shibboleth
Diretório de configuração do Shibboleth. O principal arquivo de configuração é o shibboleth2.xml.
/var/log/shibboleth
Diretório de logs onde os registros são gravados. O arquivo de log mais importante é o shibd.log, que deve ser consultado em caso de problemas.
/run/shibboleth
Diretório de runtime onde os arquivos de ID de processo e de soquete são armazenados.
/var/cache/shibboleth
Diretório de cache onde os backups de metadados e arquivos CRL são armazenados.
Após a instalação, um teste rápido pode verificar se o Service Provider foi instalado corretamente.
Verificação da Configuração do Shibboleth SP No terminal, execute o seguinte comando para verificar se o Shibboleth Service Provider pode carregar a configuração padrão:
Para Debian, Ubuntu, Rocky Linux, CentOS:
Para Red Hat Enterprise Linux:
A última linha da saída deve ser:
overall configuration is loadable, check console for non-fatal problems
Se houver entradas de log do tipo ERROR, é altamente recomendável investigar o problema. Mensagens com nível de log WARN geralmente não são problemáticas, mas é recomendável examinar suas causas.
Verificação da Configuração do Apache Teste também a configuração do Apache com o comando:
A saída esperada para este comando é:
Syntax OK
Teste Rápido do Shibboleth (Re)inicie o servidor web e acesse a URL:
https://<seu-host>/Shibboleth.sso/Session
O servidor web (ou mais especificamente o daemon Shibboleth) deve retornar uma página com a mensagem:
A valid session was not found.
Essa mensagem indica que o módulo Shibboleth foi carregado pelo servidor web e está se comunicando com o processo shibd.
Depois de os testes anteriores serem bem-sucedidos, continue para a configuração do Shibboleth SP.
Erros e Melhorias? Se você encontrar um erro ou um equívoco, ou se tiver sugestões de melhorias, informe-nos. Suas contribuições são muito apreciadas e ajudarão seus colegas.
Referências:
Para Red Hat, CentOS, Rocky Linux, Amazon Linux, apropriado e, em seguida, instale o pacote Shibboleth com:
Se nenhuma das opções acima se aplicar, siga as instruções na para configurar o repositório Shibboleth ou e retorne aqui para continuar.
O Shibboleth Consortium não oferece suporte ao SP em . Verifique o tópico sobre no SELinux.
Observe que os guias de configuração e migração são apenas para participantes do Switch edu-ID que configuram um Service Provider para a Federação Switch edu-ID (ou a Federação de Teste AAI). Em todos os outros casos, consulte as .
Para criar uma nova configuração: Continue com o . Esta é a maneira recomendada.
Para atualizar uma configuração existente do Shibboleth Service Provider: Siga o . Esta opção é recomendada apenas se você tiver experiência com o Shibboleth e se sua configuração existente foi personalizada para usar recursos avançados do Shibboleth.
: Comprehensive installation instructions for various operating systems
: Comprehensive reference documentation for shibboleth2.xml
: Documentation for Apache directives provided by Shibboleth
: General Apache documentation
: Installing the Shibboleth SP from RPM