二 22 2011
2009年部署了一台Shibboleth Identity Provider服务器,顺利加入UK Federation。此台服务器上有两张证书,一张用于客户端访问,即443端口,而另一张则用于SP服务器与IdP服务器通讯,绑定于8443端口。两张证书都即将到期,需要尽快更新。UK Federation建议使用自签名证书,最长有效期可达20年。因此本次证书更换将使用私有域服务器签署。
证书位于Shibboleth IdP安装目录下credentials/idp.crt,私钥文件位于同一目录,文件名为idp.key
在这里需要特别说明:证书过期前3个星期就必须开始更新工作,因为其它的资源提供商也需要时间更新他们服务器上的metadata配置。另外,证书通过UK Federation周转至资源提供商,也需要至少一天的时间。当UK Federation确认新的证书已经更新后,仍需要等待1-2天的时间,因为新的证书和配置文件还需要[......]
Permanent link to this article: http://www.wardking.com/2011/02/update-shibboleth-idp-ssl-certificate/
十一 27 2009
接上一篇“在64位CentOS 5.4上安装Tomcat+OpenJDK ”,完成基础工作后,就可以开始着手安装IdP
Shibboleth是一个针对SSO的开源项目,主要应用在高校之间的Web资源共享与访问控制,以及校园间的应用系统的用户身份联合认证。2006年12月,由北京大学执行的CARSI项目即是在国内高校之间部署Shibboleth,隶属于国家863计划,目前已经有清华大学、北京邮电大学、中国电子科技大学、华南理工大学等陆续加入,建立了CARSI-Fed(也称为CERNET-Fed),其目标是最终实现中国教育科研网内跨机构用户统一身份认证、共享资源访问授权和审计系统。更多的详细信息可以参考:http://carsi.edu.cn/
宁波诺丁汉大学作为英国诺丁汉大学在中国的分校区,此次部署S[......]
Permanent link to this article: http://www.wardking.com/2009/11/shibboleth-idp-setup-notes/
十一 20 2009
2008年曾写过一篇关于整合Apache, Tomcat同时支持jsp, php的文章,但是当时采用的是Sun JRE,而且没有实现普通用户启动tomcat,多少存有一些的安全隐患。通过Google参考了很多类似的文章后,在CentOS/RHEL上配置tomcat daemon并实现none-root用户启动时,遇到了较多的问题。在这里一并归纳整理。本文完成的工作亦是下一步配置Shibboleth IdP的基础架构。服务器配置: HP ProLiant DL165 G5双路四核64bit AMD Opteron, 4G内存操作系统选用CentOS 5.4 x86_64,不安装任何GUI及组件,并使用yum更新。OpenJDK是开源的JAVA开发工具,目前已经可以很好地兼容J2SE SDK。本次配置选用OpenJ[......]
Permanent link to this article: http://www.wardking.com/2009/11/centos-64bit-tomcat-openjdk/