Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Esse script irá gerar um novo certificado auto assinado para o Apache. Para evitar problemas sugiro que faça um backup do certificado, primeiro, antes de executa-lo. Os certificados do Apache você encontrar no seguinte caminho: /etc/ssl/private - chave-apache.key e /etc/ssl/certs - certificado-apache.crt. O script executa uma tarefa de remoção nestes diretórios por isso sugiro que faça o backup copiando os arquvios acima para outro diretório, por segurança.
Essa página contém todo material de suporte técnico criado por nossa comunidade federada, com a solução para as dúvidas mais frequentes de nosso clientes.
Importante !
Antes de começar é recomendado que seja feito o backup do arquivo "ldap.properties" em seu IdP. O arquivo fica no caminho: /opt/shibboleth-idp/conf
Considerar em todo texto abaixo que, OpenLDAP é a referência usada para identificar a base de diretório usada para a consulta do Shibboleth em seu IdP. Toda essa configuração foi homologada em um ambiente com os seguintes requisitos: Idp → Ubuntu 20.04, Shibboleth 4.2.1, Apache2 e Jetty9
Na imagem acima temos o arquivo "ldap.properties" no padrão do template, no exemplo acima a autenticação do IdP está ocorrendo pelo atributo "uid" configurado para OpenLDAP. Lembrando que cada insituição pode personalizar qual atributo deseja que seja usado para a autenticação, mas os recomendados são: uid, sAMAccountName e mail. O atributo sAMAccountName é usado na configuração com Active Directory(AD).
Agora iremos alterar o valor da variável usada pelo shibboleth (idp.authn.LDAP.userFilter), para executar o critério de consulta no OpenLDAP. Linha 25 do bloco de código abaixo
Na imagem acima fiz a alteração do valor na variável (idp.authn.LDAP.userFilter). Usei o operador lógico & para adicionar mais um critério de consulta na base e mantive a primeira regra e em seguida adicionei mais um regra para a validação da consulta, no exemplo usei o atributo memberof, esse atributo permite que o Shibboleth agora apenas consulte as contas que estiverem como membros deste grupo no OpenLDAP → (&(uid={user})(memberof=cn=GRP_SRV_CAFE,ou=GRUPOS,dc=homolog,dc=rnp)). O valor deste atributo precisa estar com o distinguished name DN do grupo criado que no meu caso foi cn=GRP_SRV_CAFE,ou=GRUPOS,dc=homolog,dc=rnp desta forma é possível estabelecer mais criteriosamente quais contas da sua base de diretórios tem permissão para usarem os serviços federados.
Existem outras possibilidades de serem criados tipos de critérios para uma autenticação, seguindo os passos anteriores eu abaixo darei mais um exemplo de como filtrar a autenticação do usuário, liberando apenas os que possuem uid e mail.
Também podemos usar o operador lógico OU do xml ( | ). No próximo exemplo o Shibboleth irá autenticar aquelas contas que possuem o atributo UID ou o mail
Esse procedimento visa alterar o nível do log do IdP para o modo DEBUG, com isso mais informações serão gravadas e informadas para uma melhor analise do problema.
Altere o nível do log para DEBUG. Abra o arquivo /opt/shibboleth-idp/conf/logback.xml e altere as linhas 24,25 e 28 abaixo:
Antes de começar !
Esse roteiro foi preparado para ajudar as instituições clientes da CAFe RNP para executar a alteração do hostname e dominio de seu IdP em produção no serviço da CAFe. Esse roteiro foi homologado para o ambiente mais atualizado do IdP que possui a versão do sistema operacional Ubuntu 20.04 + Shibboleth 4.2.x.
É recomendando que o técnico que ira executar esse procedimento tenha conhecimento avançado ou seja familiarizado em sistemas operacionais Linux.
Importante !
É recomendado que se faça o backup dos arquivos que serão modificados durante o processo, caso algo de errado acontece poderemos restaura-los:
=================================================================================================
Backup do idp-metadata.xml:
sudo cp /opt/shibboleth-idp/metadata/idp-metadata.xml /home/cafe/idp-metadata.xml.bkp
Backup do idp.crt e idp.key:
sudo cp /opt/shibboleth-idp/credentials/idp.key /home/cafe/idp.key.bkp
sudo cp /opt/shibboleth-idp/credentials/idp.crt /home/cafe/idp.crt.bkp
Backup do arquivo hosts:
sudo cp /etc/hosts /home/cafe/hosts.bkp
Bakcup do arquivo idp.properties:
sudo cp /opt/shibboleth-idp/conf/idp.properties /home/cafe/idp.properties.bkp
Backup do arquivo 01-idp.conf:
sudo cp /etc/apache2/sites-available/01-idp.conf /home/cafe/01-idp.conf.bkp
===================================================================================================
Todos os arquivos foram copiados com a extensão .bkp para o diretorio home do usuário cafe, caso durante o processo ocorra um erro, para voltar o estado anterior do seu IdP basta copiar os arquivos para os devidos diretorios e retirar a extensão .bkp destes arquivos.
Vamos agora baixar o script de modificação e gerar novos arquivos com o novo hostname e novo dominio:
Baixar o script para o diretorio /tmp
Quando iniciar o script o mesmo irá te perguntar algumas informações, que precisam ser passadas para a exceução do script, tenha atenção neste etapa:
"Digite apenas o nome do host antigo: " Digitar aqui apenas o hostname antigo do seu IdP Ex: cafe-idp-antigo
"Digite apenas o dominio do host antigo: " Digitar aqui apenas o dominio antigo do seu IdP Ex: org.edu.antigo.br
"Digite apenas o nome do host novo: " Digitar aqui apenas o novo hostname do seu IdP Ex: cafe-idp-novo
"Digite apenas o dominio do host novo: " Digitar aqui apenas o novo dominio do seu IdP Ex: org.edu.novo.br
"Digite o nome do contato tecnico do servico (ex.: Joao da Silva): " Digitar o nome do contato técnico
"Digite o e-mail do contato tecnico do servico (ex.: joao.silva@instituicao.br): " Digitar o email do contato técnico
"Digite o nome da instituicao por exetenso (ex.: Rede Nacional de Ensino e Pesquisa): " Digitar por extenso o nome da instituição
"Digite a sigla da instituicao (ex.: RNP): " Digitar a SIGLA da instituição em maiusculo
"Digite o endereco do site da instituicao (ex.: www.instituicao.br):" Digitar a Url da instituição
"Digite o nome departamento da instituicao que eh responsavel por este servico (ex.: CPD): " Digitar o departamento resposável pelo IdP na instituição
"Digite o nome da cidade onde esta sediada a instituicao (ex.: Porto Alegre): " Digitar a cidade
"Digite por extenco o nome da Unidade Federativa onde esta sediada a instituicao (ex.: Rio Grande do Sul): " Digitar o nome da unidade federativa da instituição
Se tudo ocorrer sem problemas o script ira realizar as modificações necessárias e o seu IdP estará com o novo hostname e dominio configurados, porém no final do processo será necessário enviar para equipe técnica da CAFe RNP o novo "idp-metadado.xml" para o cadastro na CAFe produção. Esse arquivo você encontra no seguinte caminho:
Copiar o arquivo "idp-metadata.xml" e enviar o arquivo em anexo para equipe da RNP, para o cadastro do IdP com o novo hostname e dominio.
Importante !
Afinal deste processo o seu FQDN terá sido alterado por completo, logo será necessário que o DNS para o seu IdP seja também atualizado e esse novo DNS precisa permitir que as portas 80 e 443 estejam liberadas para o mundo, da mesma forma que estava antes. Ex: Antigo DNS cafe-idp-antigo.org.edu.antigo.br ; Novo DNS cafe-idp-novo.org.edu.novo.br
Ao gerar o seu certificado ele pode ser apresentado no formato .cer para isso se dá necessário o ajuste do arquivo para o formato .crt, abaixo uma explicação de como deve ser feita essa conversão: *Os nomes abaixo são meramente ilustrativos afim de ajudar no entendimento do processo.