Este documento apresenta o procedimento necessário para solicitar a inclusão do bloco de metadados de um Provedor de Identidade (Shibboleth IdP) na Federação Chimarrão.
Durante a instalação do Shibboleth IdP é gerado um arquivo que contêm o bloco de metadados do provedor. Para que um provedor faça parte de uma Federação, uma das providências necessárias é a inclusão do bloco de metadados do provedor no arquivo de metadados da federação. Os metadados da federação servem para informar aos seus participantes quais são os servidores "reconhecidos" e confiáveis.
O arquivo que possui o bloco de metadados do seu Provedor de Identidade é o /opt/shibboleth-idp/metadata/idp-metadata.xml
Envie o arquivo de metadados para o endereço atendimento@rnp.br (caso já tenha um processo em andamento, basta mandar em reposta ao e-mail da equipe).
A equipe de operação CAFe então fará a verificação da integridade desse metadado, tudo estando certo esse metadado será inserido na federação Chimarrão para que seja iniciado a homologação do IDP.
As orientações abaixo são destinadas aos responsáveis pela TI da instituição e que desejam fazer parte da CAFe.
Caso seja um usuário verifique a página de requisitos de uso.
Para aderir a CAFe a instituição precisa:
Estar credenciada à RNP
Solicitar a adesão ao Service Desk
Em linhas gerais o processo consiste em:
Realizar uma entrevista técnica para apresentação do serviço e sanar dúvidas da instituição
A instituição realizar a instalação do servidor do serviços e quando necessário, a configuração da base de usuários.
O tempo total do processo vai depender da disponibilidade da realização da entrevista e o tempo que a instituição vai levar para instalação.
Objetivo
Este procedimento tem por objetivo orientar o cliente na importação do template de uma máquina virtual pré-configurada para ser o IdP de uma instituição que irá aderir a CAFe.
Caso sua instituição já faça parte da federação CAFe e não possui recursos para executar esse procedimento em uma VM paralela, você deve deixar isso claro no chamado pois o processo deverá ser executado com um agendamento junto a equipe de operação e suporte da CAFe. Esse cuidado é importante porque durante o procedimento a sua instituição ficará com o IDP fora da federação e os colaboradores ficarão sem o acesso federado.
Criado no formato OVF (Open Virtualization Format)
Sistema Operacional Ubuntu 22.04.3 LTS com instalação otimizada para ambientes de virtualização;
Arquitetura de 64 bits;
8Gb RAM;
4 vCPU;
1 Disco rígido de 160 GBytes;
1 Adaptador de rede pré-configurado para usar ip fixo;
Criado no formato OVF (Open Virtualization Format)
Sistema Operacional Ubuntu 22.04.3 LTS com instalação otimizada para ambientes de virtualização;
Arquitetura de 64 bits;
4Gb RAM;
2 vCPU;
1 Disco rígido de 80 GBytes;
1 Adaptador de rede pré-configurado para usar ip fixo;
Para instalação do MFA junto ao seu IDP fique atento para os requisitos necessários indicados no link a seguir:
Baixe o template da máquina virtual através do link:
Descompactar o arquivo. Importe o arquivo transferido em seu ambiente de virtualização.
Ligue o servidor virtual recém importado.
Importante !
Por uma questão de segurança de nossa VM o login remoto SSH para o usuário "root" foi desabilitado. Para logar com uma conexão remota no IdP via SSH você deve usar o usuário "cafe".
SSH na porta 22 padrão.
Informações para Login na VM:
usuário: cafe senha: 0p9o*I&U6y5t
Para os clientes que farão o uso do nosso template da CAFe o roteiro de instalação a ser seguido segue no link abaixo. Esse roteiro contempla todas as etapas de configuração auxiliadas pelo nosso instalador do IDP CAFe.
Template
SHA
256
1
Configuração da logo para versão do Shibboleth 4.2.1
Antes de iniciar todo o processo de adequação da logo é necessário preparar o arquivo de imagem que contêm a logo da instituição. Precisamos fazer o seguinte, a imagem com a logo precisa ter as seguintes medidas em pixels, 270px de largura por 108px de altura.
Copie o arquivo pronto em formato .png para dentro do diretório /home/cafe do seu IDP.
Uma vez com o arquivo correto em seu /home/cafe copie para o seguinte diretório:
Após copiar o seu arquivo de logo para dentro do diretório /images do shibboleth, vamos agora alterar para o nome padrão que o shibboleth utiliza para carregar a imagem da logo na tela de login
Agora vamos acessar o script do shibboleth para executar um rebuild com a nova imagem da logo, para isso faça:
Acesse agora o portal https://sp.rnp.br/chimarrao e escolha a sua instituição, a sua tela de login agora deverá apresentar a sua nova logo !
Página destinada para orientar os clientes da CAFe com a instalação do IDP versão 4
Com a finalidade de facilitar e tornar mais ágil a instalação de Provedores de Identidade (IdP) na Federação CAFe, a RNP disponibiliza a vm-idp que é uma pre-instalação de um IdP em forma de máquina virtual.
Este tutorial apresenta a sequência de passos necessários para que o usuário faça a configuração inicial da vm-idp.
Informações de acesso à máquina virtual:
usuário: cafe
senha: 0p9o*I&U6y5t
IMPORTANTE
Máquina para IDP deve ter IP válido, pode se usar NAT desde que esse esteja corretamente apontado para um endereço público.
DNS direto e reverso devem estar configurados (sug: shibboleth.[inst].edu.br)
O nome do seu host IDP ficará visível para todos durante o acesso ao IDP, escolha o nome com cuidado. Após escolher um nome e realizar todo o procedimento ficará mais complicado alterar o nome do seu host posteriormente.
Firewall: Liberar no firewall da instituição e do servidor IDP a comunicação entre o servidor IDP e o host da RNP conforme abaixo:
Portas 80 e 443 <TCP> liberadas no firewall local (IdP) e no instituicional para o mundo.
Estatísticas: Origem: (Host-RNP - 200.133.59.169) - Destino: (Servidor IDP) - Porta: TCP 5044
No primeiro boot da vm-idp será carregado um script que é responsável por fazer a configuração do IdP. Tal script fará uma sequência de questões que deverão ser respondidas corretamente pelo usuário. O script irá iniciar assim que você alterar para o usuário root.
Mude o usuário atual para um usuário root:
password: 0p9o*I&U6y5t
Caso queria cancelar a execução do script use o comando:
ctrl+c
Escolha "s"
1. A cada pergunta realizada pelo script será solicitada uma confirmação de resposta. Pressione "s" para confirmar a resposta e "n" para corrigir o valor digitado.
2. O script de instalação pode ser finalizado a qualquer momento pressionando-se as teclas CTRL+C. Caso isto seja feito, as configurações feitas até tal momento serão descartadas e a vm-idp executará o script novamente na inicialização seguinte.
A seguir serão apresentadas as questões presentes no script e sua devida explicação:
Esta é a primeira tela exibida após a inicialização da máquina virtual. Pressione "Enter" para prosseguir com a configuração.
Uma simulação de respostas às questões acima é apresentada nas linhas abaixo.
Digite o endereco IP: 123.123.123.123
Digite a mascara: 24
Digite o gateway: 123.123.123.1
Digite o IP do DNS: 123.200.113.11
Após inserir o primeiro servidor DNS o script irá perguntar que gostaria de configurar um segundo servidor DNS, digite "1" para prosseguir com a configuração do segundo DNS ou apenas "2" para deixar somente um servidor DNS configurado.
Após realizar o termino da configuração inicial, hostname e IP o script irá iniciar as etapas seguintes, que precisam de acesso a internet para continuar. Se tudo der certo você verá a seguinte saída:
Agora que o script possui acesso a rede ele irá iniciar a tarefa de atualização do sistema operacional. Fará de forma automática e executará um apt update + apt upgrade, apenas aguarde.
Nesse momento o script irá acessar o repositório da CAFe para baixar o script que fará a segunda etapa de configuração do IDP.
7. Configuração do acesso e comunicação com diretório (AD / LDAP)
Aonde é perguntado o domínio do seu AD ou LDAP inserir o seu domínio local.
Endereço do servidor digitar o nome ou ip do seu diretório.
Digitar porta, inserir porta de comunicação com seu diretório, normalmente 389 e 636.
Dizer para o script se o seu diretório usa SSL ou não.
9. O bloco seguinte se refere às definições da base de usuários da instituição:
Digitar o Base DN aonde deve ocorrer a consulta do Shibboleth para validar os seus usuários.
Digitar o DN da conta que fará a consulta no Base DN inserido acima.
DIgitar a senha da conta informada acima.
10. Preencha as informações referentes aos responsáveis pelo serviço na instituição:
HAVERÁ UM MOMENTO EM QUE SERÁ PERGUNTADO PELA SIGLA DE SEU ESTADO, DIGITE NO FORMATO "BR", Ex: RJ, ES, RS, PE, AM, etc...
ESSE PONTO É IMPORTANTE PARA A CORRETA CONFIGURAÇÃO DO MONITORAMENTO.
11. Após o preenchimento das configurações acima, o sistema irá proceder com a configuração automática do IDP. Esta configuração pode levar alguns minutos.
12. Por fim é solicitada a criação de uma nova senha para o usuário cafe. Lembre-se que é importante a criação de um senha complexa para garantir a segurança de seu servidor:
Também será solciitado uma senha para o usuário root.
13. Após confirmação da senha de root, o sistema será reiniciado
14. Visualização de logs:
Caso você deseje visualizar os logs gerados pela Shibboleth é possível utilizar o seguinte comando (já possui um filtro para mostrar apenas mensagens com WARN ou ERROR):
DICA
1. Para garantir que os passos descritos acima foram corretamente seguidos é necessário a execução de um script de homologação. Para fazer download desde script utilize a linha de comando abaixo:
2. Após fazer download, execute este script com permissão de root.
OK - Nao foram encontrados pontos impeditivos para o processo de adesao.
Envie o arquivo de log gerado (XYZ.log) para o Service
Desk da RNP para dar continuidade ao atendimento.
ERRO - Foram encontrados pontos impeditivos para o processo de adesao.
Verifique e corrija os erros e então execute novamente este script.