Child pages
  • Roteiro para instalação de um IDP
Skip to end of metadata
Go to start of metadata

Introdução

Com a finalidade de facilitar e tornar mais ágil a instalação de Provedores de Identidade (IdP) na Federação CAFe, a RNP disponibiliza a vm-idp que é uma pre-instalação de um IdP em forma de máquina virtual.

Este tutorial apresenta a sequência de passos necessários para que o usuário faça a configuração inicial da vm-idp. Como pré-requisito para execução destes procedimentos, o procedimento de importação da máquina virtual disponibilizada pela RNP deve ter sido executado com sucesso, conforme informações no link à seguir:

Informações de acesso à máquina virtual:

usuário: cafe
senha: 0p9o*I&U6y5t
 

 - Para duvidas que podem surgir durante o processo, temos um FAQ que pode ser acessado: clique aqui.

Pré Requisitos para instalação

IMPORTANTE

  • Máquina para IDP deve ter IP válido e não pode estar atrás de NAT 
  • DNS direto e reverso devem estar configurados (sug: shibboleth.[inst].edu.br)
  • Portas 80 e 443 liberadas no firewall local (IdP) e no instituicional

Primeira execução da vm-idp

No primeiro boot da vm-idp será carregado um script que é responsável por fazer a configuração do IdP. Tal script fará uma sequência de questões que deverão ser respondidas corretamente pelo usuário.

Mude o usuário atual para um usuário root:

sudo -i
password: 0p9o*I&U6y5t
Cancele o script iniciado:
ctrl+c
Escolha "S"

Execute o script de configuração:
chmod +x /usr/local/sbin/firstboot.sh
echo "/usr/local/sbin/firstboot.sh" >> /root/.bash_profile
/usr/local/sbin/firstboot.sh


DICA

1. A cada pergunta realizada pelo script será solicitada uma confirmação de resposta. Pressione "s" para confirmar a resposta e "n" para corrigir o valor digitado.

2. O script de instalação pode ser finalizado a qualquer momento pressionando-se as teclas CTRL+C. Caso isto seja feito, as configurações feitas até tal momento serão descartadas e a vm-idp executará o script novamente na inicialização seguinte.


A seguir serão apresentadas as questões presentes no script e sua devida explicação:

1. Esta é a primeira tela exibida após a inicialização da máquina virtual. Pressione "Enter" para prosseguir com a configuração.

------------------------------------------------------------
          RNP - Rede Nacional de Ensino e Pesquisa
            CAFe - Comunidade Acadêmica Federada
------------------------------------------------------------
Script: firstboot.sh                  Versao: 2.0 25/01/2016
------------------------------------------------------------
ATENÇÃO: Voce pode interromper este script a qualquer momen-
         to pressionando as teclas CTRL+C
Antes de iniciar este processo de instalação, certifique-se
que possui as seguintes informações:
- Denominação da máquina (hostname e dominio);
- Configuração de rede (IP, mascara de rede, gateway e DNS);
- Dados para acesso ao diretório (tipo de diretório, endere-
  ço, porta, uso de SSL, DN para consulta, DN do usuário de
  leitura e senha do usuário de leitura);
- Dados de contato da instituição (nome e e-mail dos conta-
  tos técnico e administrativo);
- Dados da instituição (nome da instituição, sigla, endere-
  ço do website, dominio da instituição, departamento res-
  ponsável pelo IDP, cidade/estado sede da instituição).
Para cancelar o processo de instalação precione CTRL+C, para
continuar pression ENTER

2. Inicialmente serão solicitadas informações referentes ao hostname e domínio. O hostname deve ser preenchido apenas com o nome que será atribuído à máquina (ex.: idp). O hostname não deverá conter o domínio.

Na questão onde é solicitado o domínio deve-se preencher com o domínio externo institucional ao qual tal servidor pertence (ex.: instituicao.br)

Digite o hostname (somente o nome da maquina):

Digite o dominio (ex.: instituicao.br):


3. A seguir são cobradas informações referentes a configuração de endereçamento IP. Tal etapa presume a utilização de IP estático na vm-idp. A utilização de IP estático é uma boa prática uma vez que gera independência do servidor de DHCP.

O script identificada a placa de rede de sua máquina e a opção de escolha será fornecida como mostra o exemplo abaixo:
 
Este servidor possui as seguintes interfaces de rede:
1 - ens33
2 - lo


Após a escolha, é necessário que entre com os valores corretos de sua rede IP. 
 
Digite o endereco IP:
Digite a mascara (utilizar formato decimal - ex.: 255.255.255.0):
Digite o gateway:
Digite o IP do DNS (ex.: 8.8.8.8):

Uma simulação de respostas às questões acima é apresentada nas linhas abaixo.

Digite o endereco IP: 123.123.123.123
Digite a mascara: 255.255.255.0
Digite o gateway: 123.123.123.254
Digite o IP do DNS: 123.123.123.1


4. Resposta padrão para a configuração do diretório '/etc/issue'

Ao chegar na etapa de configuração do /etc/issue o sistema irá perguntar se deseja modificar o pacote da distribuição mais recente, ou se deseja manter a atual. A resposta deve ser manter a atual, Digitar (N + Enter) ou apenas (Enter). Veja imagem abaixo:


5. Resposta padrão para a configuração do pacote libssl1.1:amd64

Nesta etapa você será perguntado se deseja reiniciar os serviços durante a atualização dos pacotes, a resposta padrão deve ser <Sim>, use a tecla (Tab) para selecionar a opção correta depois (Enter). Veja imagem abaixo:


6. Resposta padrão para configuração do pacote tomcat8

Nesta etapa você será questionado se deseja <instalar uma nova versão do mantenedor do pacote> ou <manter a versão local atualmente instalada>, a opção correta é a segunda <manter a versão local atualmente instalada>, selecione esta opção e digite (Enter). Veja a imagem abaixo:


7. A seguir, deve ser selecionado o tipo de diretório utilizado pela instituição (1 para AD e 2 para openLDAP)

Este instalador suporta dois tipos de servidor de diretório:
1 - AD
2 - LDAP
Qual o diretório utilizado pela instituição?

As opções a seguir devem ser escolhidas de acordo com o tipo de diretório da instituição:

=======================================================================================================

 Escolha esta opção caso tenha optado por instalação com OpenLDAP

5. As questões seguintes tratam sobre o acesso ao diretório da instituição. Presume-se que tal diretório está adequadamente configurado

Digite o dominio AD que será utilizado (ex.: ad.instituicao.br):
Digite o endereco do servidor de diretório (ex.: dc01.ad.instituicao.br ou ldap1.instituicao.br):
Digite a porta do servidor de diretório (ex.: 389): 

6. As opções abaixo tratam da configuração de SSL do servidor de diretório

Escolha uma das opões com relação a configuração de SSL do servidor de diretório:
1 - Utiliza SSL
2 - Não utiliza SSL
O diretório indicado utiliza SSL?

7. O bloco seguinte se refere às definições da base de usuários da instituição

Digite o DN para consulta no servidor de diretório (ex.: CN=Users,DC=instituicao,DC=br e ou=People,dc=instituicao,dc=br):
Digite o DN do usuários de leitura no servidor de diretório (ex.: conta_servico@instituicao.br ou cn=leitor-shib,dc=instituicao,dc=br): 
Digite a senha do usuário de leitura do servidor de diretório: 

8. Preencha as informações referentes aos responsáveis pelo serviço na instituição

Digite o nome do contato tecnico do servico (ex.: Joao da Silva):
Digite o e-mail do contato tecnico do servico (ex.: joao.silva@instituicao.br):
Digite o nome da instituicao por exetenso (ex.: Rede Nacional de Ensino e Pesquisa):
Digite a sigla da instituicao (ex.: RNP):
Digite o endereco do site da instituicao (ex.: www.instituicao.br):
Digite o dominio da instituicao (ex.: instituicao.br):
Digite o nome departamento da instituicao que eh responsavel por este servico (ex.: CPD):
Digite o nome da cidade onde esta sediada a instituicao (ex.: Porto Alegre):
Digite por extenco o nome da Unidade Federativa onde esta sediada a instituicao (ex.: Rio Grande do Sul):

9. Após o preenchimento das configurações acima, o sistema irá proceder com a configuração automática do IDP. Esta configuração pode levar alguns minutos. Após o termino desta configuração, será exibida a mensagem a seguir:

* Restarting web server apache2                                                                                                                                                               AH00112: Warning: DocumentRoot [/var/www/vazio/] does not exist
AH00557: apache2: apr_sockaddr_info_get() failed for cafe
AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1. Set the 'ServerName' directive globally to suppress this message
                                                                                                                                                                                        [ OK ]
SAML EntityID: [https://idpv3.rnp.br/idp/shibboleth]

10. Pressione "Enter" para continuar

11. Por fim é solicitada a criação de uma nova senha para o usuário root. Lembre-se que é importante a criação de um senha complexa para garantir a segurança de seu servidor

Digite a senha do root:


12. Após confirmação da senha de root, o sistema será reiniciado


13. Visualização de logs:

Caso você deseje visualizar os logs gerados pela Shibboleth é possível utilizar o seguinte comando (já possui um filtro para mostrar apenas mensagens com WARN ou ERROR):

DICA

tail -f -n3000 /opt/shibboleth-idp/logs/idp-process.log | egrep "(WARN|ERROR)" -A4

Para visualizar logs relativos ao Tomcat (especialmente util para identificar erros quando o Shibboleth não é inicializado) os arquivos são:

  • /var/log/tomcat6/catalina.<ano><mes><dia>.log
  • /var/log/tomcat6/localhost.<ano><mes><dia>.log

=======================================================================================================

 Escolha esta opção caso tenha optado pela instalação com Active Directory (AD)
 

5. As questões seguintes tratam sobre o acesso ao diretório da instituição. Presume-se que tal diretório está adequadamente configurado

Digite o endereco do servidor de diretório (ex.: dc01.ad.instituicao.br ou ldap1.instituicao.br):
Digite a porta do servidor de diretório (ex.: 389): 

6. As opções abaixo tratam da configuração de SSL do servidor de diretório

Escolha uma das opões com relação a configuração de SSL do servidor de diretório:
1 - Utiliza SSL
2 - Não utiliza SSL
O diretório indicado utiliza SSL?

7. O bloco seguinte se refere às definições da base de usuários da instituição

Digite o DN para consulta no servidor de diretório (ex.: CN=Users,DC=instituicao,DC=br e ou=People,dc=instituicao,dc=br):
Digite o DN do usuários de leitura no servidor de diretório (ex.: conta_servico@instituicao.br ou cn=leitor-shib,dc=instituicao,dc=br): 
Digite a senha do usuário de leitura do servidor de diretório: 

8. Preencha as informações referentes aos responsáveis pelo serviço na instituição

Digite o nome do contato tecnico do servico (ex.: Joao da Silva):
Digite o e-mail do contato tecnico do servico (ex.: joao.silva@instituicao.br):
Digite o nome da instituicao por exetenso (ex.: Rede Nacional de Ensino e Pesquisa):
Digite a sigla da instituicao (ex.: RNP):
Digite o endereco do site da instituicao (ex.: www.instituicao.br):
Digite o dominio da instituicao (ex.: instituicao.br):
Digite o nome departamento da instituicao que eh responsavel por este servico (ex.: CPD):
Digite o nome da cidade onde esta sediada a instituicao (ex.: Porto Alegre):
Digite por extenco o nome da Unidade Federativa onde esta sediada a instituicao (ex.: Rio Grande do Sul):

9. Após o preenchimento das configurações acima, o sistema irá proceder com a configuração automática do IDP. Esta configuração pode levar alguns minutos. Após o termino desta configuração, será exibida a mensagem a seguir:

* Restarting web server apache2                                                                                                                                                               AH00112: Warning: DocumentRoot [/var/www/vazio/] does not exist
AH00557: apache2: apr_sockaddr_info_get() failed for cafe
AH00558: apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.0.1. Set the 'ServerName' directive globally to suppress this message
                                                                                                                                                                                        [ OK ]
SAML EntityID: [https://idpv3.rnp.br/idp/shibboleth]

10. Pressione "Enter" para continuar

11. Por fim é solicitada a criação de uma nova senha para o usuário root. Lembre-se que é importante a criação de um senha complexa para garantir a segurança de seu servidor

Digite a senha do root:


12. Após confirmação da senha de root, o sistema será reiniciado


13. Visualização de logs:

Caso você deseje visualizar os logs gerados pela Shibboleth é possível utilizar o seguinte comando (já possui um filtro para mostrar apenas mensagens com WARN ou ERROR):

DICA

tail -f -n3000 /opt/shibboleth-idp/logs/idp-process.log | egrep "(WARN|ERROR)" -A4

Para visualizar logs relativos ao Tomcat (especialmente util para identificar erros quando o Shibboleth não é inicializado) os arquivos são:

  • /var/log/tomcat6/catalina.<ano><mes><dia>.log
  • /var/log/tomcat6/localhost.<ano><mes><dia>.log

=======================================================================================================


Homologação parcial

1. Para garantir que os passos descritos acima foram corretamente seguidos é necessário a execução de um script de homologação. Para fazer download desde script utilize a linha de comando abaixo:

wget --no-check-certificate https://svn.rnp.br/repos/CAFe/conf/shibboleth-idp/shib-v3/cafe-validador-template.sh -O /tmp/cafe-validador-template.sh
chmod +x /tmp/cafe-validador-template.sh

2. Após fazer download, execute este script com permissão de root.

/tmp/cafe-validador-template.sh

3. Se todas as checagens forem bem sucedidas você deverá receber a mensagem abaixo. Envie o arquivo de log gerado pelo script para o Service Desk e aguarde instruções para continuidade do processo de adesão.

OK - Nao foram encontrados pontos impeditivos para o processo de adesao.
     Envie o arquivo de log gerado (XYZ.log) para o Service
     Desk da RNP para dar continuidade ao atendimento.

4. Se ocorrer alguma falha na checagem você deverá receber a mensagem abaixo. Identifique qual/quais checagem não foram bem sucedidas e faça a devida correção. Após isto retorne para o item 8. Em caso de dúvidas entre em contato com o Service Desk.

ERRO - Foram encontrados pontos impeditivos para o processo de adesao.
       Solucione os erros e execute novamente este script.


  • No labels