二 22 2011
2009年部署了一台Shibboleth Identity Provider服务器,顺利加入UK Federation。此台服务器上有两张证书,一张用于客户端访问,即443端口,而另一张则用于SP服务器与IdP服务器通讯,绑定于8443端口。两张证书都即将到期,需要尽快更新。UK Federation建议使用自签名证书,最长有效期可达20年。因此本次证书更换将使用私有域服务器签署。
证书位于Shibboleth IdP安装目录下credentials/idp.crt,私钥文件位于同一目录,文件名为idp.key
在这里需要特别说明:证书过期前3个星期就必须开始更新工作,因为其它的资源提供商也需要时间更新他们服务器上的metadata配置。另外,证书通过UK Federation周转至资源提供商,也需要至少一天的时间。当UK Federation确认新的证书已经更新后,仍需要等待1-2天的时间,因为新的证书和配置文件还需要[......]
Permanent link to this article: http://www.wardking.com/2011/02/update-shibboleth-idp-ssl-certificate/
十一 27 2009
接上一篇“在64位CentOS 5.4上安装Tomcat+OpenJDK ”,完成基础工作后,就可以开始着手安装IdP
Shibboleth是一个针对SSO的开源项目,主要应用在高校之间的Web资源共享与访问控制,以及校园间的应用系统的用户身份联合认证。2006年12月,由北京大学执行的CARSI项目即是在国内高校之间部署Shibboleth,隶属于国家863计划,目前已经有清华大学、北京邮电大学、中国电子科技大学、华南理工大学等陆续加入,建立了CARSI-Fed(也称为CERNET-Fed),其目标是最终实现中国教育科研网内跨机构用户统一身份认证、共享资源访问授权和审计系统。更多的详细信息可以参考:http://carsi.edu.cn/
宁波诺丁汉大学作为英国诺丁汉大学在中国的分校区,此次部署S[......]
Permanent link to this article: http://www.wardking.com/2009/11/shibboleth-idp-setup-notes/
十一 20 2009
2008年曾写过一篇关于整合Apache, Tomcat同时支持jsp, php的文章,但是当时采用的是Sun JRE,而且没有实现普通用户启动tomcat,多少存有一些的安全隐患。通过Google参考了很多类似的文章后,在CentOS/RHEL上配置tomcat daemon并实现none-root用户启动时,遇到了较多的问题。在这里一并归纳整理。本文完成的工作亦是下一步配置Shibboleth IdP的基础架构。服务器配置: HP ProLiant DL165 G5双路四核64bit AMD Opteron, 4G内存操作系统选用CentOS 5.4 x86_64,不安装任何GUI及组件,并使用yum更新。OpenJDK是开源的JAVA开发工具,目前已经可以很好地兼容J2SE SDK。本次配置选用OpenJ[......]
Permanent link to this article: http://www.wardking.com/2009/11/centos-64bit-tomcat-openjdk/
十一 20 2009
在对CentOS/RHEL进行精简的过程中,需要删除很多rpm包。使用rpm命令配合相应的参数可以很快查找出系统中所有已经安装的软件包大小,删除一些不必要的文件,既可以节省磁盘空间,更可以在系统更新时加快速度,节省带宽。这对于许多使用VPS主机的朋友非常有用。In order to reduce disk space, some rpm packages of CentOS/RHEL should be removed. So it's always good to know how much space on the hard drive takes some rpm packages. We can delete it after setup, this is not onl[......]
Permanent link to this article: http://www.wardking.com/2009/11/query-rpm-size-one-command/