Ir para o final dos metadados
Ir para o início dos metadados

Importação de senhas armazenadas em hexadecimal

Em algumas situações, o hash SHA e MD5 das senhas é armazenado como uma sequência de caracteres hexadecimais nas bases institucionais.
Para envio da senha para o LDAP via LDIF é necessário que esse hash esteja em base64.
O algoritmo a seguir pode ser usado durante a importação dos dados para transformar o valor hexa em base64, de forma a preservar o hash original da senha no diretório.

Os passos para configurá-lo são os seguintes:

  1. Editar a extração da classe Conta
  2. No Leiaute de destino, campo senha, deixar em branco o Campo Fonte
  3. Editar o script de transformação desse campo e colocar o algoritmo acima
  4. Salvar o script de transformação
  5. Salvar a transformação
  6. Executar novamente a importação dessa classe

É importante ressaltar que o campo algoritmoSenha deve estar preenchido corretamente:

  • SHA, para senhas com hash SHA
  • MD5, para senhas com hash MD5
  • CRYPT, para senhas crypt
  • vazio, para senhas em texto plano

Erro Cannot instantiate abstract class or interface: br.ufmg.lcc.eid.dto.EidClass

Esse erro ocorre quando são removidos registros diretamente no banco ou quando ocorre alguma falha que provoca inconsistências no banco. Os passos para corrigi-lo são os seguintes:

1 - abra uma conexão com o banco de dados "eid" utilizando algum cliente

2 - execute o seguinte SQL:

Erro "Not mapped class <nomeClasse> ao executar um processo de Importação

Este erro acontece quando a pasta  "services"  localizada em /opt/VERSAO_EID/WEB-INF/classes/br/ufmg/lcc/eid/ não foi criada.

Esta pasta contém as classes compiladas pelo EID ao subir o tomcat. Para resolver o problema certifique-se de que :

  • O usuário que sobe o tomcat tem permissão na pasta /opt/{VERSAO_EID) para dar permissão executar:

Ver processos em execução:

Startar o tomcat:

  • A conexão com o Metadiretório está configurada corretamente (Menu configuração/repositório de dados => Testar a conexão com o banco EID)
  • Verificar se a variável JAVA_HOME aponta pra o JDK ( O JRE não permite compilação)
  •  Verificar se a configuração do diretório WEB-INF da aplicação está correta através do Menu EID/Configuração
  • Verificar se no arquivo /etc/tomcat6/Catalina/localhost/eid.xml o campo docBase aponta para o diretório de instalação do EID: /opt/eid-VERSAO

Log do tomcat está apresentando erros e crescendo muito

Caso o log do tomcat apresente o seguinte erro:

140 ERROR Eid Person Conciliator thread br.ufmg.lcc.arangi.model.ModelService - Error getting BO by BO class name: org.springframework.beans.factory.BeanCreationException, Error creating bean with name 'br.ufmg.lcc.eid.model.conciliator.ConciliatorBO' defined in class path resource ModelConfig.xml: Instantiation of bean failed; nested exception is java.lang.NoClassDefFoundError

Solução:

  • Verificar se a pasta /opt/eid-VERSÃO/lib contém os arquivos:libJaroWinklerLib.so e List.o, caso não tenha sido criado refazer os passos do tutorial que compilam o algoritmo
  • Verificar se variável JARO_WINKLER_DIR está setada corretamente com caminho /opt/eid-VERSÃO/lib
  • Verificar no arquivo /etc/default/tomcat6 se a variável-Djava.library.pathestá setada como abaixo:

Configurar memória no Tomcat

Adicionar os parâmetros -Xms500M -Xmx1024M na variável JAVA_OPTS no arquivo /etc/default/tomcat6

Verificar registros pendentes para conciliação:

select count( * ) from TBL_EID_OBJECT where pending=true;

Como validar a sintaxe de e-mails?

Um problema que tem sido constante na exportação utilizando o EID2LDAP está relacionado com a sintaxe do atributo e-mail.

O LDAP valida a sintaxe de todos atributos. Muitos daqueles utilizados são strings, não implicando em restrições fortes.

O e-mail, entretanto, possui uma sintaxe um pouco mais rígida (vide http://www.cs.tut.fi/~jkorpela/rfc/822addr.html), impedindo, dentre outros padrões, caracteres acentuados.

Uma solução para este problema é filtrar os e-mails inválidos no momento da carga do metadiretório, impedindo a entrada de e-mails inválidos.

Esta filtragem pode ser feita utilizando-se o script de transformação para carga do campo email.

Os passos são os seguintes:

  • Acessar o menu "Configuração" -> "ETC"
  • Editar a ETC responsável pela carga de e-mail
  • Localizar, na guia "Leiaute de Destino", a linha do campo "email"
  • Na coluna "Campo Fonte", selecionar o item vazio
  • Editar a coluna "Script"
  • Colar o código abaixo, substituindo-se CAMPO_FONTE_EMAIL pelo nome do campo e-mail configurado na fonte
  • Confirmar a alteração
  • Salvar a ETC
  • Reagendar a carga dos e-mails

Limpar a base EID (Não apaga as configurações, apenas os dados)

Instalar OpenLDAP com o esquema brEduPerson - Passo a Passo

Como configurar a saída de log do LDAP

Objetivo: configurar a saída de log do LDAP junto ao rsyslog pois na configuração padrão o log é desabilitado um vez que é extremamente verboso.

1. Edite o /etc/ldap/slapd.conf, procurando a entrada loglevel e alterando o seu valor conforme a caixa abaixo:

2. Edite o /etc/rsyslog.d/50-default.conf e na linha que trata sobre o syslog adicione uma entrada para local4 conforme o exemplo abaixo:

3. Ainda no mesmo arquivo (/etc/rsyslog.d/50-default.conf), adicione uma entrada para o LDAP abaixo da linha user.* já existente:

4. Reinicie os serviços para que as atualizações façam efeito:

Remover OpenLDAP com o esquema brEduPerson - Passo a Passo

Nenhuma questão cadastrada.

Tutorial Básico ApacheDS

Nenhuma questão cadastrada.

Tutorial Básico SimpleSAML

Nenhuma questão cadastrada.

Instalação do EID

Nenhuma questão cadastrada.

Atualização do EID

Nenhuma questão cadastrada.

Instalação do EID2LDAP

Nenhuma questão cadastrada.

Atualização do EID2LDAP

Nenhuma questão cadastrada.

Instalação Shibboleth-IDP 2.x

Como integrar o Shibboleth-IDP com o Microsoft Active Directory

Observação: A Federação CAFe não oferece suporte para a integração entre Shibboleth-IDP e Microsoft Active Diretory. Este guia deve ser utilizado apenas como um referência básica para configuração. Maiores informações podem ser obtidas diretamente no Wiki do Shibboleth.

1 - Altere o arquivo login.config baseando-se no exemplo abaixo:

2 - No arquivo attribute-resolver.xml personalize o DataConnector baseando-se no exemplo abaixo:

Como criar um filtro de usuários

Existem situações em que apenas um sub-grupo de usuários do diretório poderão ter acesso a Federação.
Dado que este sub-grupo de usuários possua um atributo em comum (ex.: cafe=yes) é possível fazer um filtro permitindo que sejam autenticados apenas tais usuários.
Para tanto, é necessário editar o arquivo /opt/shibboleth/conf/login.config e adicionar a propriedade authorizationFilter baseando-se no exemplo abaixo:

Erro "Message was signed, but signature could not be verified"

Descrição: erro exibido no browser com ocorrência frequente quando é feita geração de novas chaves para o servidor.
Solução: atualizar o arquivo idp-metadata.xml substituindo a chave pública presente no arquivo pela versão atualizada.

Erro "Message did not meet security requirements"

Descrição: erro exibido no browser com ocorrência frequente quando a data/hora do servidor IdP está incorreta.
Solução: ajuste a data/hora do servidor.

Warn "NameVirtualHost *:80 has no VirtualHosts"

Descrição: warn exibido durante a inicialização do Apache quando o servidor possui apenas um VirtualHost.
Solução: comentar a linha NameVirtualHost *:80 no arquivo /etc/apache/ports.conf.

Como alterar o tempo padrão para atualização do arquivo de metadados

O Shibboleth IdP define suas fontes de metadados através do arquivo relying-party.xml. Sempre o Shibboleth IdP é inicializado uma nova cópia do arquivo de metadados é automaticamente baixada. Neste arquivo é possível incluir o atributo "cacheDuration" que define, em segundos, a frequência com a qual o Shibboleth IdP deverá atualizar (automaticamente) o arquivo de metadados. Na ausência deste atributo é assumido o valor padrão de 2880 segundos (48 minutos). A atualização de metadados ocorrerá na primeira tentativa de login após ter expirado o "cacheDuration".

O atual roteiro de configuração do Shibboleth IdP na Federação CAFe não inclui o atributo "cacheDuration", ou seja, o arquivo de metadados deverá ser atualizado automaticamente a cada 2880 segundos.

Abaixo um exemplo de configuração com uso do cacheDuration onde é definido um tempo e 300 segundos (5 minutos) para atualização do arquivo de metadados:

Instalação Shibboleth SP

Nenhuma questão cadastrada.

Instalação e Configuração Básica do Ubuntu 10.04 LTS

Nenhuma questão cadastrada.

Geração de Chave e Certificado

1. Para se obter o fingerprint de um certificado deve-se executar o seguinte comando:

Etiquetas
  • Nenhum