Docker, Shibboleth

Rainer Perske rainer.perske at uni-muenster.de
Di Jul 25 15:40:31 CEST 2017


Hallo,

> [...] ob es moeglich ist Shibboleth von der Web Application in Docker zu trennen?

nur falls niemand eine einfachere / direktere / bessere Lösung finden kann, möchte ich eine von mir vor einiger Zeit realisierte umfassende Lösung ins Spiel bringen:

Bei uns läuft Shibboleth in einem vorgeschalteten Reverse-Proxy-Server. Sämtliche Terabytes Informationen in unserem Webserverpark sind damit auch über die DFN-AAI (inkl. eduGain) erreichbar, und ich kann jederzeit weitere Webspaces aufsetzen, ohne mich um Shibboleth-Kram kümmern zu müssen. Alle relevanten Informationen werden über spezielle HTTP-Header-Zeilen an den nachgeschalteten Server übergeben. Der nachgeschaltete Server (bei uns kein Docker, aber er dürfte natürlich auch per Docker realisiert sein) sieht nur eine einfache HTTP-Basic-Authentifizierung und einige Header-Zeilen mit relevanten Infos.

Haken an unserer Lösung: Ich habe den Apache-Quelltext des vorgeschalteten Reverse-Proxy-Servers modifiziert, um alle benötigten Infos auslesen zu können. (Es ist denkbar, dass mit den neuen Möglichkeiten von Apache 2.4 diese Patches nicht mehr nötig sind, das habe ich noch nicht untersucht.) Über diese Lösung habe ich vor einigen Jahren mal einen Vortrag auf der DFN-Betriebstagung gehalten (nicht irritieren lassen, dass der Vortrag mit "Warum kein Shibboleth?" beginnt):

<https://www.uni-muenster.de/ZIV.RainerPerske/2012-10-16.AAI.html>

Oder über genau diesen Shibboleth-Server:

<https://ssso.uni-muenster.de/ZIV.RainerPerske/2012-10-16.AAI.html>

Beste Grüße
-- 
Rainer Perske
Abteilung Systembetrieb und Leiter der Zertifizierungsstelle (WWUCA)
Zentrum für Informationsverarbeitung (Universitätsrechenzentrum)

Westfälische Wilhelms-Universität
Zentrum für Informationsverarbeitung
Rainer Perske
Röntgenstraße 7-13
48149 Münster

Tel.: +49 251 83-31582
Fax.: +49 251 83-31555
E-Mail: rainer.perske at uni-muenster.de
WWW: https://www.uni-muenster.de/ZIV/Mitarbeiter/RainerPerske.shtml
Büro: Raum 006, Röntgenstraße 11
Lageplan: http://wwwuv2.uni-muenster.de/uniplan/?action=spot&gebnr=7474

Zertifizierungsstelle der Universität Münster (WWUCA):
Tel.: +49 251 83-31590
Fax.: +49 251 83-31555
E-Mail: ca at uni-muenster.de
WWW: https://www.uni-muenster.de/WWUCA/

Zentrum für Informationsverarbeitung (ZIV):
Tel.: +49 251 83-31600 (Mo-Fr 7:30-17:30 Uhr)
Fax.: +49 251 83-31555
E-Mail: ziv at uni-muenster.de
WWW: https://www.uni-muenster.de/ZIV/
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 5470 bytes
Beschreibung: S/MIME cryptographic signature
URL         : <http://listserv.aai.dfn.de/pipermail/aai-users/attachments/20170725/0d460b8e/attachment.bin>


Mehr Informationen über die Mailingliste Aai-users