Мы преобразовываем унаследованную нами систему: два веб-сервера, на которых работают IIS и Shibboleth, за сервером балансировки нагрузки, на котором работает HAPROXY. Сертификаты SSL устанавливаются на каждом веб-сервере, а HAPROXY настроен как сквозной.
Мы хотим заменить сервер HAPROXY на один работающий nginx, и мы хотим переместить сертификат SSL с веб-серверов на границу, то есть на сервер nginx.
Итак, мы хотим уйти от этого:
к этому:
И мы почти у цели. Есть одна загвоздка: Шибболет.
Мы построили новый сервер, установили и настроили nginx. Мы используем файл HOSTS, чтобы указывать туда и обратно для тестирования. Как только мы закончим, мы повторно укажем DNS.
Шаг первый, мы настроили nginx как сквозной канал для SSL:
Это сработало отлично.
Но когда мы переместили сертификат на сервер nginx, Shibboleth пожаловался:
Unable to locate satisfiable bearer SubjectConfirmation in assertion
При попытке получить доступ к контенту, не защищенному Shibboleth (https://example.com/open), он работает нормально - значит, сертификат настроен правильно.
Если мы укажем HOSTS на HAPROXY, аутентифицируем, а затем укажем HOSTS на nginx, он работает (подтверждено тестами браузера при отслеживании доступа к журналу nginx). Другими словами, как только cookie SAML установлен, все в порядке. Кажется, проблема возникает, когда IdP пытается отправить утверждения в ... / Shibboleth.sso / SAML2 / POST (Fiddler подтверждает)
Я включил ведение журнала DEBUG в Shibboleth, и, может быть, я что-то там найду, но пока нет.
Здесь nginx.conf:
worker_processes 1;
events {
worker_connections 1024;
}
http {
include mime.types;
default_type application/octet-stream;
sendfile on;
keepalive_timeout 65;
upstream farm {
server 192.168.1.42:80; # WEB1
server 192.168.1.43:80; # WEB2
}
server {
listen 80;
listen 443 default ssl;
server_name example.com;
ssl_certificate example.com.crt;
ssl_certificate_key example.com.key;
ssl_trusted_certificate example.com.pem;
location / {
proxy_pass http://farm;
proxy_next_upstream error timeout invalid_header http_500 http_502 http_503 http_504;
proxy_set_header Host $host;
proxy_set_header X-Real-IP $remote_addr;
proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
}
}
}
А вот shibboleth2.xml
<SPConfig xmlns="urn:mace:shibboleth:2.0:native:sp:config"
xmlns:conf="urn:mace:shibboleth:2.0:native:sp:config"
xmlns:saml="urn:oasis:names:tc:SAML:2.0:assertion"
xmlns:samlp="urn:oasis:names:tc:SAML:2.0:protocol"
xmlns:md="urn:oasis:names:tc:SAML:2.0:metadata"
clockSkew="180">
<InProcess logger="native.logger">
<ISAPI normalizeRequest="true" safeHeaderNames="true">
<Site id="3" name="example.com"/>
</ISAPI>
</InProcess>
<TCPListener address="192.168.1.42" port="1600" acl="192.168.1.42 192.168.1.43"/>
<RequestMapper type="Native">
<RequestMap>
<Host name="example.com">
<Path name="closed" authType="shibboleth" requireSession="true">
<Path name="open" authType="shibboleth" requireSession="false"/>
</Host>
</RequestMap>
</RequestMapper>
<ApplicationDefaults entityID="--spEntityId--"
REMOTE_USER="eppn persistent-id targeted-id uid"
cipherSuites="ECDHE+AESGCM:ECDHE:!aNULL:!eNULL:!LOW:!EXPORT:!RC4:!SHA:!SSLv2"
homeURL="https://example.com/closed">
<Sessions lifetime="28800" timeout="86400" relayState="ss:mem" checkAddress="false" handlerSSL="false" cookieProps="https">
<SSO entityID="--IdpEntityId--">SAML2 SAML1</SSO>
<Logout>SAML2 Local</Logout>
<Handler type="MetadataGenerator" Location="/Metadata" signing="false"/>
<Handler type="Status" Location="/Status" acl="127.0.0.1 ::1"/>
<Handler type="Session" Location="/Session" showAttributeValues="true"/>
<Handler type="DiscoveryFeed" Location="/DiscoFeed"/>
</Sessions>
<Errors supportContact="root@localhost"
helpLocation="/about.html"
styleSheet="/shibboleth-sp/main.css"
redirectErrors="/errors/shiberror.html" />
<MetadataProvider type="XML" path="idp_metadata.xml" />
<AttributeExtractor type="XML" validate="true" reloadChanges="false" path="attribute-map.xml"/>
<CredentialResolver type="File" key="file.key" certificate="file.crt"/>
</ApplicationDefaults>
<SecurityPolicyProvider type="XML" validate="true" path="security-policy.xml"/>
<ProtocolProvider type="XML" validate="true" reloadChanges="false" path="protocols.xml"/>
</SPConfig>
Я в тупике. Вы можете помочь?
Проблема решилась изменением shibboleth2.xml
, изменив это:
<InProcess logger="native.logger">
<ISAPI normalizeRequest="true" safeHeaderNames="true">
<Site id="3" name="example.com"/>
</ISAPI>
</InProcess>
к этому:
<InProcess logger="native.logger">
<ISAPI normalizeRequest="true" safeHeaderNames="true">
<Site id="3" name="example.com" scheme="https" port="443"/>
</ISAPI>
</InProcess>
Это добавляет scheme
и port
атрибуты к InProcess\ISAPI\Site
Мое понимание Скотта Кантора в список рассылки shibboleth это связано с тем, что IIS не может виртуализировать серверы. Эта функция была добавлена в shibboleth в качестве временного решения.
См. Эту страницу;
По сути, IdP отправляет entityID с префиксом https: // (обратите внимание на 's'), но поскольку веб-серверы IIS были настроены (прямо или косвенно) с entityID с префиксом http: // (обратите внимание на отсутствие 's').
Ссылка выше относится к решению, когда SP используется на сервере Apache (измените директиву ServerName, чтобы она начиналась с «https: // ...»). В вашем случае с IIS я не знаю, какой эквивалент был бы в самом IIS, но вы можете попробовать изменить запись entityID = "" в shibboleth2.xml, чтобы начать https: //
Обходной путь - использовать SSL для трафика между прокси-сервером nginx и веб-серверами, снова настроив привязки IIS для HTTPS.