Ir para o final dos metadados
Ir para o início dos metadados

Introdução

Com a finalidade de facilitar e tornar mais ágil a instalação de Provedores de Identidade (IdP) na Federação CAFe, a RNP disponibiliza a vm-idp que é uma pre-instalação de um IdP em forma de máquina virtual.

Este tutorial apresenta a sequência de passos necessários para que o usuário faça a configuração inicial da vm-idp. Como pré-requisito para execução destes procedimentos, o procedimento de importação da máquina virtual disponibilizada pela RNP deve ter sido executado com sucesso, conforme informações no link à seguir:

Procedimento de importação do template de máquina virtual para servidor IDP da CAFe.

Informações de acesso à máquina virtual:

   - Para duvidas que podem surgir durante o processo, temos um FAQ que pode ser acessado: clique aqui.

Pré Requisitos para instalação

IMPORTANTE
  • Máquina para IDP deve ter IP válido e não pode estar atrás de NAT 
  • DNS direto e reverso devem estar configurados (sug: shibboleth.[inst].edu.br)
  • Portas 80, 8080, 8443 e 443 liberadas no firewall local (IdP) e no instituicional

 

Primeira execução da vm-idp

No primeiro boot da vm-idp será carregado um script que é responsável por fazer a configuração do IdP. Tal script fará uma sequência de questões que deverão ser respondidas corretamente pelo usuário.

Mude o usuário atual para um usuário root:

 

Cancele o script iniciado:


Altere as configurações de rede, de forma a permitir a comunicação com o seu LDAP e com a internet.
Aplique a correção para o repositório do JDK8, executando as linhas abaixo:
Execute o script de configuração:


DICA

1. A cada pergunta realizada pelo script será solicitada uma confirmação de resposta. Pressione s para confirmar a resposta e n para corrigir o valor digitado.

2. O script de instalação pode ser finalizado a qualquer momento pressionando-se as teclas CTRL+C. Caso isto seja feito, as configurações feitas até tal momento serão descartadas e a vm-idp executará o script novamente na inicialização seguinte.

A seguir serão apresentadas as questões presentes no script e sua devida explicação:

1. Esta é a primeira tela exibida após a inicialização da máquina virtual. Pressione "Enter" para prosseguir com a configuração.

2. Inicialmente serão solicitadas informações referentes ao hostname e domínio. O hostname deve ser preenchido apenas com o nome que será atribuído à máquina (ex.: idp). O hostname não deverá conter o domínio.

Na questão onde é solicitado o domínio deve-se preencher com o domínio ao qual tal servidor pertence (ex.: instituicao.br)

3. A seguir são cobradas informações referentes a configuração de endereçamento IP. Tal etapa presume a utilização de IP estático na vm-idp. A utilização de IP estático é uma boa prática uma vez que gera independência do servidor de DHCP.

Uma simulação de respostas às questões acima é apresentada nas linhas abaixo.

4. A seguir, deve ser selecionado o tipo de diretório utilizado pela instituição (1 para AD e 2 para openLDAP)

As opções a seguir devem ser escolhidas de acordo com o tipo de diretório da instituição:

=======================================================================================================

 Escolha esta opção caso tenha optado por instalação com OpenLDAP

5. As questões seguintes tratam sobre o acesso ao diretório da instituição. Presume-se que tal diretório está adequadamente configurado

6. As opções abaixo tratam da configuração de SSL do servidor de diretório

7. O bloco seguinte se refere às definições da base de usuários da instituição

8. Preencha as informações referentes aos responsáveis pelo serviço na instituição

9. Após o preenchimento das configurações acima, o sistema irá proceder com a configuração automática do IDP. Esta configuração pode levar alguns minutos. Após o termino desta configuração, será exibida a mensagem a seguir:

10. Pressione "Enter" para continuar

11. Por fim é solicitada a criação de uma nova senha para o usuário root. Lembre-se que é importante a criação de um senha complexa para garantir a segurança de seu servidor

 

12. Após confirmação da senha de root, o sistema será reiniciado

 

13. Visualização de logs:

Caso você deseje visualizar os logs gerados pela Shibboleth é possível utilizar o seguinte comando (já possui um filtro para mostrar apenas mensagens com WARN ou ERROR):

DICA

Para visualizar logs relativos ao Tomcat (especialmente util para identificar erros quando o Shibboleth não é inicializado) os arquivos são:

  • /var/log/tomcat6/catalina.<ano><mes><dia>.log
  • /var/log/tomcat6/localhost.<ano><mes><dia>.log

=======================================================================================================

 Escolha esta opção caso tenha optado pela instalação com Active Directory (AD)
 

5. As questões seguintes tratam sobre o acesso ao diretório da instituição. Presume-se que tal diretório está adequadamente configurado

6. As opções abaixo tratam da configuração de SSL do servidor de diretório

7. O bloco seguinte se refere às definições da base de usuários da instituição

8. Preencha as informações referentes aos responsáveis pelo serviço na instituição

9. Após o preenchimento das configurações acima, o sistema irá proceder com a configuração automática do IDP. Esta configuração pode levar alguns minutos. Após o termino desta configuração, será exibida a mensagem a seguir:

10. Pressione "Enter" para continuar

11. Por fim é solicitada a criação de uma nova senha para o usuário root. Lembre-se que é importante a criação de um senha complexa para garantir a segurança de seu servidor

 

12. Após confirmação da senha de root, o sistema será reiniciado

 

13. Visualização de logs:

Caso você deseje visualizar os logs gerados pela Shibboleth é possível utilizar o seguinte comando (já possui um filtro para mostrar apenas mensagens com WARN ou ERROR):

DICA

Para visualizar logs relativos ao Tomcat (especialmente util para identificar erros quando o Shibboleth não é inicializado) os arquivos são:

  • /var/log/tomcat6/catalina.<ano><mes><dia>.log
  • /var/log/tomcat6/localhost.<ano><mes><dia>.log

=======================================================================================================


Homologação parcial

1. Para garantir que os passos descritos acima foram corretamente seguidos é necessário a execução de um script de homologação. Para fazer download desde script utilize a linha de comando abaixo:

2. Após fazer download, execute este script com permissão de root.

3. Se todas as checagens forem bem sucedidas você deverá receber a mensagem abaixo. Envie o arquivo de log gerado pelo script para o Service Desk e aguarde instruções para continuidade do processo de adesão.

4. Se ocorrer alguma falha na checagem você deverá receber a mensagem abaixo. Identifique qual/quais checagem não foram bem sucedidas e faça a devida correção. Após isto retorne para o item 8. Em caso de dúvidas entre em contato com o Service Desk.

ERRO - Foram encontrados pontos impeditivos para o processo de adesao.
       Solucione os erros e execute novamente este script.

 

14. Após a finalização da homologação, é necessário atualizar o arquivo metadata-providers.xml. Para executar esta ação, execute o seguinte comando:

 

 

Etiquetas
  • Nenhum