[HREF-tech] Metadata valtozas

Kristof BAJNOK bajnokk at niif.hu
2008. Aug. 11., H, 15:01:12 CEST 

Sziasztok!

Változtattam egyet s mást a HREF föderációs metaadatok között. A benne 
található adatokat 6 különböző állományba vágtam szét:
 - href-idp-metadata.xml: (Éles) IdP-k
 - href-sp-metadata.xml: (Éles) SP-k
 - href-vho-metadata.xml: Virtual Home Organization (IdP), azoknak, akiknek 
nincs saját IdP-jük
 - href-test-idp-metadata.xml: Teszt IdP-k
 - href-test-sp-metadata.xml: Teszt SP-k (és eduGAIN bridging element)
 - niif-internal-metadata.xml: NIIF belső SP-k

Ezek az állományok elérhetők a https://idp.niif.hu -ról, ahol alá is vannak 
írva. A Shibboleth 1.3 SP tartalmaz egy "siterefresh" nevű eszközt, amely 
segítségével a metadata letölthető és aláírás ellenőrizhető, így:

 siterefresh --url 
http://idp.niif.hu/href-idp-metadata.xml --cert /etc/shibboleth/href_signer.crt --out 
href-idp-metadata.xml

A 6 file közül mindegyik SP és IdP esetében válasszátok ki, hogy mikre van 
szükség. Természetesen egy SP csak olyan IdP-vel beszélhet, ami valamelyik 
metadatában benne van (és fordítva). Mindenkit bátorítok arra, hogy a saját 
belső providereit az niif-internal-metadata.xml -hez hasonlóan külön 
file-ba rakja, hiszen ez nem "tartozik senkire".

Shibboleth 1.3 SP-nél így kell beállítani a metadata forrásokat:
<MetadataProvider 
type="edu.internet2.middleware.shibboleth.metadata.provider.XMLMetadata"
                        uri="/etc/shibboleth/href-idp-metadata.xml"/>
<MetadataProvider 
type="edu.internet2.middleware.shibboleth.metadata.provider.XMLMetadata"
                        uri="/etc/shibboleth/href-vho-metadata.xml"/>

Shibboleth 2 SP-nél pedig így:
<MetadataProvider type="Chaining">
  <MetadataProvider type="XML" 
uri="http://idp.niif.hu/href-idp-metadata.xml"
          backingFilePath="href-idp-metadata.xml" reloadInterval="7200">
          <SignatureMetadataFilter certificate="href_signer.pem"/>
  </MetadataProvider>
  <MetadataProvider type="XML" 
uri="http://idp.niif.hu/href-test-idp-metadata.xml"
          backingFilePath="href-test-idp-metadata.xml" 
reloadInterval="7200">
          <SignatureMetadataFilter certificate="href_signer.pem"/>
  </MetadataProvider>
</MetadataProvider>

Sok furcsa hibát tud okozni, ha a metaadatok nincsenek szinkronizálva, ezért 
javaslom, hogy valahogyan automatizáljátok a frissítéseket (pl. cron-ból 
futtatva.)

Sajnos ezekbe a metaadatokba még mindig úgy kerülnek bele a dolgok, hogy 
nekem kell elküldeni az adatokat. Hosszabb távon tervezzük, hogy erre webes 
interfészt készítünk (csak ennek a jogosultságkezelése elég bonyolult, 
viszont kritikus).

Arra jelenleg még nincs formális policy, hogy milyen feltételekkel ki melyik 
állományba kerülhet, de nemsokára erről is írok majd.

Üdv,
Kristóf
-- 
Kristof BAJNOK
Systems Engineer / Middleware
NIIF / Hungarnet
Hungary

További információk a(z) HREF-tech levelezőlistáról