diff options
| author | rudolf <rudolf@d688527b-c9ab-4aba-bd8d-4036d912da1d> | 2003-12-19 09:09:41 +0000 |
|---|---|---|
| committer | rudolf <rudolf@d688527b-c9ab-4aba-bd8d-4036d912da1d> | 2003-12-19 09:09:41 +0000 |
| commit | edc10681ce6d045d57d5dc7a544f3081f6eb41a7 (patch) | |
| tree | c02ed4f975ca42a23eac2926033fbc01985840fc | |
| parent | b6e8e0a8f45c10d9a0cd77807db7107430752981 (diff) | |
| download | moa-id-spss-edc10681ce6d045d57d5dc7a544f3081f6eb41a7.tar.gz moa-id-spss-edc10681ce6d045d57d5dc7a544f3081f6eb41a7.tar.bz2 moa-id-spss-edc10681ce6d045d57d5dc7a544f3081f6eb41a7.zip | |
MOA-ID 1.1.1D01
git-svn-id: https://joinup.ec.europa.eu/svn/moa-idspss/trunk@82 d688527b-c9ab-4aba-bd8d-4036d912da1d
| -rw-r--r-- | id.server/doc/MOA-ID-Configuration-1.1.xsd | 1 | ||||
| -rw-r--r-- | id.server/doc/moa-id.htm | 2 | ||||
| -rw-r--r-- | id.server/doc/moa_id/examples/conf/MOA-ID-Configuration.xml | 73 | ||||
| -rw-r--r-- | id.server/doc/moa_id/examples/moa-id-env.sh.txt | 15 | ||||
| -rw-r--r-- | id.server/doc/moa_id/examples/startTomcat.bat.txt | 26 | ||||
| -rw-r--r-- | id.server/doc/moa_id/faqs.htm | 194 | ||||
| -rw-r--r-- | id.server/doc/moa_id/id-admin.htm | 125 | ||||
| -rw-r--r-- | id.server/doc/moa_id/id-admin_1.htm | 275 | ||||
| -rw-r--r-- | id.server/doc/moa_id/id-admin_2.htm | 809 | ||||
| -rw-r--r-- | id.server/doc/moa_id/id-admin_3.htm | 33 |
10 files changed, 1055 insertions, 498 deletions
diff --git a/id.server/doc/MOA-ID-Configuration-1.1.xsd b/id.server/doc/MOA-ID-Configuration-1.1.xsd index 50c77a401..bb5021ed6 100644 --- a/id.server/doc/MOA-ID-Configuration-1.1.xsd +++ b/id.server/doc/MOA-ID-Configuration-1.1.xsd @@ -254,6 +254,7 @@ <xsd:attribute name="configFileURL" type="xsd:anyURI" use="optional"/>
<xsd:attribute name="sessionTimeOut" type="xsd:int" use="optional"/>
<xsd:attribute name="loginParameterResolverImpl" type="xsd:string" use="optional"/>
+ <xsd:attribute name="loginParameterResolverConfiguration" type="xsd:string" use="optional"/>
<xsd:attribute name="connectionBuilderImpl" type="xsd:string" use="optional"/>
</xsd:complexType>
</xsd:element>
diff --git a/id.server/doc/moa-id.htm b/id.server/doc/moa-id.htm index 74018a5ab..82e5adc19 100644 --- a/id.server/doc/moa-id.htm +++ b/id.server/doc/moa-id.htm @@ -1,6 +1,6 @@ <html> <head> -<meta http-equiv="refresh" content="0; URL=moa_id/moa.htm"> +<meta http-equiv="refresh" content="0; URL=moa_id/moa.htm"/> </head> <body></body> diff --git a/id.server/doc/moa_id/examples/conf/MOA-ID-Configuration.xml b/id.server/doc/moa_id/examples/conf/MOA-ID-Configuration.xml index 6ce00228c..26898f754 100644 --- a/id.server/doc/moa_id/examples/conf/MOA-ID-Configuration.xml +++ b/id.server/doc/moa_id/examples/conf/MOA-ID-Configuration.xml @@ -1,54 +1,83 @@ <?xml version="1.0" encoding="UTF-8"?> -<!-- edited with XMLSPY v5 rel. 3 U (http://www.xmlspy.com) by Stephan G (Comp) --> <MOA-IDConfiguration xmlns="http://www.buergerkarte.at/namespaces/moaconfig#" xmlns:dsig="http://www.w3.org/2000/09/xmldsig#" xmlns:sl10="http://www.buergerkarte.at/namespaces/securitylayer/20020225#" xmlns:sl11="http://www.buergerkarte.at/namespaces/securitylayer/20020831#"> + <!-- fuer MOA-ID-AUTH --> <AuthComponent> - <BKUSelection> - <ConnectionParameter URL="http://10.16.46.108:18080/oa/getBKUSelectTag.jsp"/> + <!-- URL und akzeptierte TLS-Server-Zertifikate des verwendeten BKU-Auswahl Service --> + <BKUSelection BKUSelectionAlternative="HTMLComplete"> + <ConnectionParameter URL="http://auswahl.buergerkarte.at/auswahl"> + <!-- <AcceptedServerCertificates>certs/server-certs</AcceptedServerCertificates> --> + </ConnectionParameter> </BKUSelection> + <!-- Transformationen fuer die Anzeige des AUTH-Block im Secure Viewer --> <SecurityLayer> - <TransformsInfo filename="file:/home/moa/id/jakarta-tomcat-4.1.18/conf/moa-id/Transforms/TransformsInfosHTML.xml"/> + <TransformsInfo filename="transforms/TransformsInfoAuthBlock.xml"/> </SecurityLayer> <MOA-SP> - <ConnectionParameter URL="https://10.16.46.108:8443/moa-spss/services/SignatureVerification"> - <AcceptedServerCertificates>file:/home/moa/id/jakarta-tomcat-4.1.18/conf/moa-id/certs/server-certs</AcceptedServerCertificates> - <ClientKeyStore password="Keystore Pass">file:/c:/</ClientKeyStore> - </ConnectionParameter> + <!-- URL und akzeptierte TLS-Server-Zertifikate des MOA-SP Web Service, falls MOA-SP ueber Web Service angesprochen wird. Wenn MOA-SP direkt ueber API aufgerufen werden soll, so wird das Element auskommentiert + <ConnectionParameter URL="http://localhost:8080/moa-spss/services/SignatureVerification"> --> + <!-- <AcceptedServerCertificates>certs/server-certs</AcceptedServerCertificates> --> + <!-- <ClientKeyStore password="Keystore Pass">file_to_clientkeystore</ClientKeyStore> --> + <!-- </ConnectionParameter> --> + <!-- TrustProfile fuer den IdentityLink der Buergerkarte; muss in MOA-SP konfiguriert sein --> <VerifyIdentityLink> - <TrustProfileID>TrustProfile1</TrustProfileID> + <TrustProfileID>MOAIDBuergerkartePersonenbindung</TrustProfileID> </VerifyIdentityLink> <VerifyAuthBlock> - <TrustProfileID>TrustProfile1</TrustProfileID> - <VerifyTransformsInfoProfileID>TransformsInfoProfile1MOAID</VerifyTransformsInfoProfileID> + <!-- TrustProfile fuer die Signatur des AUTH-Blocks der Buergerkarte; muss in MOA-SP konfiguriert sein --> + <TrustProfileID>MOAIDBuergerkarteAuthentisierungsDaten</TrustProfileID> + <!-- VerifyTransformsInfoProfile mit den Transformationen fuer die Anzeige der Anmeldedaten im Secure Viewer; muss in MOA-SP konfiguriert sein --> + <VerifyTransformsInfoProfileID>MOAIDTransformAuthBlock</VerifyTransformsInfoProfileID> </VerifyAuthBlock> </MOA-SP> + <!-- Gueltige Signatoren des IdentityLink, der von der Buergerkarte gelesen wird --> <IdentityLinkSigners> - <X509SubjectName>CN=Test Signaturdienst Personenbindung,OU=Zentrales Melderegister,O=Bundesministerium f\C3\BCr Inneres,C=AT</X509SubjectName> + <X509SubjectName>CN=zmr,OU=BMI-IV-2,O=BMI,C=AT</X509SubjectName> </IdentityLinkSigners> </AuthComponent> + <!-- fuer MOA-ID-PROXY --> <ProxyComponent> + <!-- URL und akzeptierte TLS-Server-Zertifikate des MOA-ID-AUTH Web Service --> <AuthComponent> - <ConnectionParameter URL="http://moatestlinux:18080/moa-id-auth/services/GetAuthenticationData"> - <AcceptedServerCertificates>http://www.altova.com</AcceptedServerCertificates> - <ClientKeyStore password="String">http://www.altova.com</ClientKeyStore> + <ConnectionParameter URL="https://localhost:8443/moa-id-auth/services/GetAuthenticationData"> + <!-- <AcceptedServerCertificates>certs/server-certs</AcceptedServerCertificates> --> + <!-- <ClientKeyStore password="Keystore Pass">file_to_clientkeystore</ClientKeyStore> --> </ConnectionParameter> </AuthComponent> </ProxyComponent> - <OnlineApplication publicURLPrefix="https://10.16.126.28:9443/moa-id-proxy/"> + <!-- Eintrag fuer jede Online-Applikation --> + <OnlineApplication publicURLPrefix="https://localhost:8443/"> + <!-- fuer MOA-ID-AUTH --> <AuthComponent provideZMRZahl="false" provideAUTHBlock="false" provideIdentityLink="false"/> - <ProxyComponent configFileURL="file:/home/moa/id/jakarta-tomcat-4.1.18/conf/moa-id/oa/OAConf.xml" sessionTimeOut="600"> - <ConnectionParameter URL="https://moatestlinux:18443/oa/"> - <AcceptedServerCertificates>file:/home/moa/id/jakarta-tomcat-4.1.18/conf/moa-id/oa/server-certs/tomcat</AcceptedServerCertificates> - <ClientKeyStore password="ClientKeystoreOAPAss">URL:toClientKeystoreOA</ClientKeyStore> + <!-- fuer MOA-ID-PROXY --> + <ProxyComponent configFileURL="oa/SampleOAConfiguration.xml" sessionTimeOut="600"> + <!-- <ProxyComponent configFileURL="oa/SampleOAConfiguration.xml" sessionTimeOut="600" loginParameterResolverImpl="at.gv.egovernment.moa.id.proxy.DefaultLoginParameterResolver" loginParameterResolverConfiguration="" connectionBuilderImpl="at.gv.egovernment.moa.id.proxy.DefaultConnectionBuilder"> --> + <!-- URL und akzeptierte TLS-Server-Zertifikate der Online-Applikation --> + <ConnectionParameter URL="http://localhost:8080/oa/"> + <!-- <AcceptedServerCertificates>certs/server-certs</AcceptedServerCertificates> --> + <!-- <ClientKeyStore password="Keystore Pass">file_to_clientkeystore</ClientKeyStore> --> </ConnectionParameter> </ProxyComponent> </OnlineApplication> + <!-- ChainingModes fuer die Zertifikatspfadueberpruefung der TLS-Zertifikate --> <ChainingModes systemDefaultMode="pkix"> <TrustAnchor mode="chaining"> <dsig:X509IssuerName>CN=A-Trust-nQual-0,OU=A-Trust-nQual-0,O=A-Trust,C=AT</dsig:X509IssuerName> <dsig:X509SerialNumber>536</dsig:X509SerialNumber> </TrustAnchor> </ChainingModes> - <GenericConfiguration name="DirectoryCertStoreParameters.RootDir" value="file:/home/moa/id/jakarta-tomcat-4.1.18/conf/moa-id/certs/cert-store-root"/> - <GenericConfiguration name="AuthenticationData.TimeOut" value="120"/> + <!-- fuer MOA-ID-AUTH: Rootzertifikate des Servers MOA-SP, falls ueber HTTPS angesprochen --> + <!-- fuer MOA-ID-PROXY: Rootzertifikate des Servers MOA-ID-AUTH, falls ueber HTTPS angesprochen, + und aller Online-Applikationen, die ueber HTTPS angesprochen werden --> + <TrustedCACertificates>certs/ca-certs</TrustedCACertificates> + + <!-- Cache-Verzeichnis fuer-Zertifikate --> + <GenericConfiguration name="DirectoryCertStoreParameters.RootDir" value="certs/certstore"/> + <!-- Time-Out fuer die Anmeldung von Beginn bis zum Anlegen der Anmeldedaten, in Sekunden --> <GenericConfiguration name="AuthenticationSession.TimeOut" value="600"/> + <!-- Time-Out fuer die Anmeldung vom Anlegen bis zum Abholen der Anmeldedaten, in Sekunden --> + <GenericConfiguration name="AuthenticationData.TimeOut" value="120"/> + <!-- HTTP Verbindung auf Frontend Servlets zulassen / verbieten (falls Webserver vorgeschaltet wird) --> + <!-- <GenericConfiguration name="FrontendServlets.EnableHTTPConnection" value="_true"/> --> + <!-- Angabe eines alternativen DataURLPrefix Werts (bei vorgelagertem Webserver) --> + <!-- <GenericConfiguration name="FrontendServlets.DataURLPrefix" value="http://<servername>/moa-id-auth/"/> --> </MOA-IDConfiguration> diff --git a/id.server/doc/moa_id/examples/moa-id-env.sh.txt b/id.server/doc/moa_id/examples/moa-id-env.sh.txt new file mode 100644 index 000000000..1ccca10c1 --- /dev/null +++ b/id.server/doc/moa_id/examples/moa-id-env.sh.txt @@ -0,0 +1,15 @@ +rem insert Tomcat 4.1.x home directory (no trailing path separator) +set CATALINA_HOME=<Tomcat 4.1.x home directory> + +CONFIG_OPT_SPSS=-Dmoa.spss.server.configuration=$CATALINA_HOME/conf/moa-spss/SampleMOASPSSConfiguration.xml +CONFIG_OPT_ID=-Dmoa.id.configuration=$CATALINA_HOME/conf/moa-id/SampleMOAIDConfiguration.xml + + +LOGGING_OPT=-Dlog4j.configuration=file:$CATALINA_HOME/conf/moa-id/log4j.properties +# TRUST_STORE_OPT=-Djavax.net.ssl.trustStore=truststore.jks +# TRUST_STORE_PASS_OPT=-Djavax.net.ssl.trustStorePassword=changeit +# TRUST_STORE_TYPE_OPT=-Djavax.net.ssl.trustStoreType=jks + +export CATALINA_OPTS="$CONFIG_OPT_SPSS $CONFIG_OPT_ID $LOGGING_OPT $TRUST_STORE_OPT $TRUST_STORE_PASS_OPT $TRUST_STORE_TYPE_OPT" +echo CATALINA_OPTS=$CATALINA_OPTS + diff --git a/id.server/doc/moa_id/examples/startTomcat.bat.txt b/id.server/doc/moa_id/examples/startTomcat.bat.txt new file mode 100644 index 000000000..29588120c --- /dev/null +++ b/id.server/doc/moa_id/examples/startTomcat.bat.txt @@ -0,0 +1,26 @@ +rem ---------------------------------------------------------------------------------------------- +rem Modify these entries according to your needs + +rem JDK home directory (no trailing path separator) +set JAVA_HOME=<jdk home directory> + +rem Tomcat 4.1.x home directory (no trailing path separator) +set CATALINA_HOME=<Tomcat 4.1.x home directory> + +rem ---------------------------------------------------------------------------------------------- + +set CONFIG_OPT_SPSS=-Dmoa.spss.server.configuration=%CATALINA_HOME%/conf/moa-spss/SampleMOASPSSConfiguration.xml +set CONFIG_OPT_ID=-Dmoa.id.configuration=%CATALINA_HOME%/conf/moa-id/SampleMOAIDConfiguration.xml +set LOGGING_OPT=-Dlog4j.configuration=file:%CATALINA_HOME%/conf/moa-id/log4j.properties + +set PARAMS_MOA=%CONFIG_OPT_SPSS% %CONFIG_OPT_ID% %LOGGING_OPT% + +rem set PARAM_TRUST_STORE=-Djavax.net.ssl.trustStore=truststore.jks +rem set PARAM_TRUST_STORE_PASS=-Djavax.net.ssl.trustStorePassword=changeit +rem set PARAM_TRUST_STORE_TYPE=-Djavax.net.ssl.trustStoreType=jks +rem set PARAMS_SSL=%PARAM_TRUST_STORE% %PARAM_TRUST_STORE_PASS% %PARAM_TRUST_STORE_TYPE% + +set CATALINA_OPTS=%PARAMS_MOA% %PARAMS_SSL% + +cd %CATALINA_HOME% +bin\catalina.bat start
\ No newline at end of file diff --git a/id.server/doc/moa_id/faqs.htm b/id.server/doc/moa_id/faqs.htm index ed386e11e..bad7a90e3 100644 --- a/id.server/doc/moa_id/faqs.htm +++ b/id.server/doc/moa_id/faqs.htm @@ -48,57 +48,165 @@ Projekt <span style="font-size:48pt; ">moa</span>  <br /> <!-- First Section with Navigation --> -<table width="650" border="0" cellpadding="10" cellspacing="0"> -<tr> -<td width="170" valign="top"> -<div style="font-weight:bold; margin-top:12px">FAQs</div><br /> -<div id="klein"><a href="moa.htm"><img src="../moa_images/west.gif" border="0" width="13" height="14" /> - <b> Zurück</b></a></div> -<br /> -<!-- div id="slogan"> + <table width="650" border="0" cellpadding="10" cellspacing="0"> + <tr> + <td width="170" valign="top"> + <div style="font-weight:bold; margin-top:12px">FAQs</div> + <br /> + <div id="klein"><a href="moa.htm"><img src="../moa_images/west.gif" border="0" width="13" height="14" /> + <b> Zurück</b></a></div> + <br /> + <!-- div id="slogan"> MOA ist eine Entwicklung des Bundesrechenzentrums BRZ in Zusammenarbeit mit A-Trust und dem Institut für angewandte Informations- und Kom-munikationstechnik (IAIK) der Universität Graz </div --> -</td> - -<td valign="top"> -<div id="titel">FAQs - Häufig gestellte Fragen </div> - -<p id="subtitel">Lokal installiertes MOA-ID und Microsoft Internet Explorer</p> -<p id="block"> -Aufgrund eines Fehlers in Microsofts Internet Explorer kann es beim Testen eines lokal installierten Tomcat mit den MOA-ID-Modulen zu Fehlern kommen, da ein Redirect von der Auth-Komponente zur Proxy-Komponente nicht ausgeführt wird. -</p> -<p id="block"> -Als Workaround empfiehlt es sich, zum lokalen Testen einen alternativen Browser wie <a href="http://www.opera.com/">Opera</a>, <a href="http://www.mozilla.org/">Mozilla</a> oder <a href="http://www.netscape.org/">Netscape</a> zu verwenden, da diese Probleme dort nicht auftreten. -</p> -<br /> -<p id="subtitel">Lokale Proxy-Komponente und HTTPS</p> -<p id="block"> -Wenn die Proxy-Komponente lokal läuft und per TLS/SSL aufgerufen wird, kommt es zu einer Fehlermeldung. -</p> -<p id="block"> -Workaround: Wenn in der Konfiguration statt 'localhost' der eigene Rechnername verwendet wird, funktioniert die Proxy-Komponente wie gewohnt. <br /> -Zum Herausfinden des Rechnernamens wechselt man unter Windows auf die Kommandozeile und kann mittels 'ipconfig /all' den Rechnernamen herausfinden. -Unix/Linux-Anwender sehen bspw. mittels 'cat' in der Datei /etc/hosts nach, der Texteintrag hinter der eigenen IP-Adresse spezifiziert den Rechnernamen. -</p> -<br /> -<p id="subtitel">Tomcat und starke Verschlüsselung (>100 Bit)</p> -<p id="block"> -Serverseitig kann keine starke Verschlüsselung (seitens Tomcat) erzwungen werden. -</p> -<p id="block"> -Als Workaround empfiehlt es sich, einen Web-Server wie Apache oder den Microsoft Internet-Information-Server für das SSL-Handling vorzuschalten und dort in der jeweiligen Konfiguration starke Verschlüsselung zu erzwingen. -</p> -<br /> -</td></tr></table> + </td> + <td valign="top"> + <div id="titel">FAQs - Häufig gestellte Fragen </div> + <p id="block"><b><a href="#frage1">Frage</a><a href="#frage4"> </a><a href="#frage1">1</a></b> + Mit dem Internet Explorer kommt es bei einer Anmeldung an der lokal + installierten Version von MOA-ID zu Fehlern beim Redirect. Warum?</p> + <p id="block"> <b><a href="#frage2">Frage</a><a href="#frage4"> </a><a href="#frage2">2</a></b> + Wenn die Proxy-Komponente lokal läuft und per TLS/SSL aufgerufen + wird, kommt es zu einer Fehlermeldung. Wie kann dies verhindert werden?</p> + <p id="block"><b><a href="#frage3">Frage</a><a href="#frage4"> </a><a href="#frage3">3</a></b> + Es soll serverseitig lediglich starke TLS/SSL Verschlüsselung (>100 + Bit) unterstützt werden. Wie kann dies erzwungen werden?</p> + <p id="block"><b><a href="#frage4">Frage 4 </a></b>Beim Starten von + MOA ID bzw. MOA SPSS tritt folgende Exception auf: <tt>java.lang.ClassCastException: + iaik.asn1.structures.Name</tt>. Was kann der Fehler sein?<b><a href="#frage3"></a></b></p> + <p id="block"><b><a href="#frage5">Frage 5</a></b> Ich möchte + MOA in einer Umgebung betreiben, die einen Internet-Zugang nur über + einen Proxy erlaubt. Funktioniert das?</p> + <p id="block"><b><a href="#frage6">Frage 6</a></b> Tomcat: Wärend + des Betriebs kommt es zu org.apache.commons.logging.LogConfigurationException. + Wie kann dies verhindert werden?</p> + <hr> + <p id="subtitel"></p> + <p id="subtitel"><a name="frage1"></a>Frage 1</p> + <p id="block"><b>Q: </b>Mit dem Internet Explorer kommt es bei einer Anmeldung + an der lokal installierten Version von MOA-ID zu Fehlern beim Redirect. + Warum?</p> + <p id="block"><b>A:</b> Aufgrund eines Fehlers in Microsofts Internet + Explorer schlägt der (lokale) Redirect auf dem lokal installierten + Tomcat fehl.</p> + <p id="block"> Als Workaround empfiehlt es sich, zum lokalen Testen einen + alternativen Browser wie <a href="http://www.opera.com/">Opera</a>, + <a href="http://www.mozilla.org/">Mozilla</a> oder <a href="http://www.netscape.org/">Netscape</a> + zu verwenden, da diese Probleme dort nicht auftreten. Von einem anderen + Rechner aus kann jedoch die Anmeldung an MOA-ID auch mit dem Internet + Explorer erfolgen. </p> + <hr /> + <p id="subtitel"><a name="frage2"></a>Frage 2</p> + <p id="block"> <b>Q: </b>Wenn die Proxy-Komponente lokal läuft und + per TLS/SSL aufgerufen wird, kommt es zu einer Fehlermeldung. Wie kann + dies verhindert werden?</p> + <p id="block"> <b>A:</b> Wenn in der Konfiguration statt 'localhost' der + eigene Rechnername verwendet wird, funktioniert die Proxy-Komponente + wie gewohnt.<br> + <br /> + Zum Herausfinden des Rechnernamens wechselt man unter Windows auf die + Kommandozeile und kann mittels 'ipconfig /all' den Rechnernamen herausfinden. + Unix/Linux-Anwender sehen bspw. mittels 'cat' in der Datei /etc/hosts + nach, der Texteintrag hinter der eigenen IP-Adresse spezifiziert den + Rechnernamen. </p> + <hr /> + <p id="subtitel"><a name="frage3"></a>Frage 3</p> + <p id="block"> <b>Q: </b>Es soll serverseitig lediglich starke TLS/SSL + Verschlüsselung (>100 Bit) unterstützt werden. Wie kann + dies erzwungen werden?</p> + <p id="block"> <b>A: </b>Tomcat bietet (bis dato) keine einfache Möglichkeit + die serverseitig verwendeten TLS/SSL Verschlüsselungsalgorithmen + zu konfigurieren. Daher empfiehlt es sich in diesem Fall, einen Web-Server + wie Apache oder den Microsoft Internet-Information-Server für das + SSL-Handling vorzuschalten und dort in der jeweiligen Konfiguration + starke Verschlüsselung zu erzwingen.<b> </b></p> + <hr /> + <b> + <p id="subtitel"><a name="frage4"></a>Frage 4</p> + Q: </b>Beim Starten von MOA SPSS tritt folgende Exception auf: <tt>java.lang.ClassCastException: + iaik.asn1.structures.Name</tt>. Was kann der Fehler sein? + <p id="block"> <b>A:</b> Auf Grund einer mangelhaften Implementierung + in einigen Versionen des JDK 1.3.1 kann es beim Betrieb von MOA zu folgendem + Problem kommen: Sun macht in der Implementierung von PKCS7.getCertificate() + einen Downcast vom Interface java.security.Principal auf die eigene + Implementierung, was zu einer ClassCastException führt, wenn der JCE-Provider + von Sun nicht an erster Stelle in der List der Security-Provider installiert + ist. MOA geht nun aber so vor, dass der JCE-Provider des IAIK an die + erste Stelle installiert wird, wenn er zum Zeitpunkt der Konfiguration + noch nicht installiert war. Wird dann von irgendeinem ClassLoader der + jar-Verifier benützt, wird PKCS7.getCertificate() verwendet, und + es kommt zu einer ClassCastException. </p> + <p id="block"> Wird MOA über die API-Schnittstelle verwendet, ist ein + Workaround die manuelle Installation des IAIK-JCE-Providers nach dem + Sun JCE-Provider (etwa an die letzte Stelle), bevor die MOA-Konfiguration + aufgerufen wird. Bei Verwendung der Webservices ist die Möglichkeit + der statischen Konfiguration der JCE-Provider mittels Angabe in der + Datei $JAVA_HOME/jre/lib/security/java.security der einzige bekannte + Workaround. Hierzu müssen die Einträge + <pre> + security.provider.1=sun.security.provider.Sun + security.provider.2=com.sun.rsajca.Provider +</pre> + durch folgenden Eintrag ergänzt werden: + <pre> + security.provider.3=iaik.security.provider.IAIK +</pre> + <p></p> + + <hr /> + <p id="subtitel"><a name="frage5"></a>Frage 5</p> + <div id="block"> + <p id="block"><b>Q: </b>Ich möchte MOA in einer Umgebung betreiben, + die einen Internet-Zugang nur über einen Proxy erlaubt. Funktioniert + das?</p> + <p id="block"> <b>A:</b> Ja, zumindest für Zugriffe über HTTP. + Sie müssen dazu die nachfolgenden JAVA System-Properties setzen:</p> + <blockquote> + <p><tt>http.proxyHost=<proxyhost><br> + http.proxyPort=<proxyport><br> + http.nonProxyHosts="<exceptionhosts>"</tt></p> + </blockquote> + <p><tt><proxyhost></tt> gibt den Namen oder die IP-Adresse des + Proxies an.</p> + <p><tt><proxyport></tt> gibt den Port des Proxies an.</p> + <p><tt><exceptionhosts></tt> enthält eine Liste von Rechnernamen, + die nicht über den Proxy laufen sollen. Jedenfalls müssen + sie hier <tt>localhost</tt> angeben. Einzelne Namen sind durch eine + Pipe (<tt>|</tt>) zu trennen. Bitte beachten Sie, dass IP-Addressen + nicht angegeben werden dürfen, sowie die verpflichtend zu verwendenen + Anführungszeichen.</p> + </div> + <hr /> + <p id="subtitel"><a name="frage6">Frage 6</a></p> + <p><b>Q:</b> Tomcat: Wärend des Betriebs kommt es zu org.apache.commons.logging.LogConfigurationException. + Wie kann dies verhindert werden?</p> + <p>org.apache.commons.logging.LogConfigurationException: org.apache.commons.logging.LogConfigurationException: + org.apache.commons.logging.LogConfigurationException<br> + : Class org.apache.commons.logging.impl.Jdk14Logger does not implement + Log</p> + <p><b>A:</b> $CATALINA_HOME\server\lib\tomcat-util.jar muss gegen eine + gepatchte Version ausgetauscht werden, da ein BUG in der Originalversion + von tomcat 4.1.27. Diese gepatchte Version ist in der MOA-ID Distribution + im Verzeichnis $MOA_ID_INST_AUTH\tomcat\tomcat-util-4.1.27-patched\ + zu finden.</p> + <p> </p> + </td> + </tr> + <tr> + <td width="170" valign="top"> </td> + <td valign="top"> </td> + </tr> + </table> <table width="650" border="0" cellpadding="10" cellspacing="0"> <tr> -<td width="170" valign="top"><br /></td> -<td valign="top"> -<hr /> + <td width="150" valign="top"><br /> + </td> + <td valign="top" width="460"> + <hr /> <div style="font-size:8pt; color:#909090">© 2003 <!-- Development Center, BRZ GmbH --></div> </td></tr></table> <br /> diff --git a/id.server/doc/moa_id/id-admin.htm b/id.server/doc/moa_id/id-admin.htm index 718f0cd03..fb545d560 100644 --- a/id.server/doc/moa_id/id-admin.htm +++ b/id.server/doc/moa_id/id-admin.htm @@ -111,10 +111,10 @@ Die Basis-Installation stellt einerseits die minimalen Anforderungen für de Folgende Software ist Voraussetzung für die Basis-Installation: </div> <ul> -<li>JDK 1.3.1 oder JDK 1.4.1</li> -<li>Tomcat 4.1.18 </li> -<li>MOA-ID-AUTH 1.0 </li> -<li>MOA SP/SS 1.0 (entweder als WebService oder direkt als interne Bibliothek)</li> +<li>JDK 1.3.1, JDK 1.4.1 oder JDK 1.4.2</li> +<li>Tomcat 4.1.18 oder Tomcat 4.1.27 (*)</li> +<li>MOA-ID-AUTH 1.1 </li> +<li>MOA SP/SS 1.1 oder neuer (entweder als WebService oder direkt als interne Bibliothek)</li> </ul> <div id="block"> Um möglichen Versionskonflikten aus dem Weg zu gehen sollten stets die neuesten Versionen von MOA-ID als auch von MOA-SP/SS verwendet werden. <br/> @@ -122,7 +122,7 @@ In diesem Betriebs-Szenario wird MOA-ID-AUTH in Tomcat deployt. Tomcat fungiert <br/><br/> Die Webapplikation verwendet Log4j als Logging Toolkit. </div> -</td></tr></table> +</table> <br /> <div id="szenarien2" /> @@ -144,7 +144,7 @@ MOA-ID-AUTH und MOA-ID-PROXY können in verschiedenen Konstellationen zum Ei <li>auf ein und demselben Rechner in verschiedenen Java Servlet Containern</li> <li>auf ein und demselben Rechner in ein und demselben Java Servlet Container</li> </ul> -<br/><br /><br /> + <br /> Ausgehend von der Basis-Installation können die optionalen Konfigurationen, die in den nachfolgenden Abschnitten beschrieben werden, unabhängig und in beliebiger Kombination aufgesetzt werden. </div> </td></tr></table> @@ -176,7 +176,7 @@ Den MOA ID Webapplikationen kann jeweils optional ein Webserver vorgeschaltet se <br /><br /> Mittels mod_jk werden die Webservice-Aufrufe, die im vorgeschalteten Webserver eintreffen, an Tomcat weiter geleitet, bzw. die Antwort von Tomcat wieder an den Webserver zurück übermittelt. </div> -</td></tr></table> +</div></div></td></tr></table> <br /> <div id="szenarien4" /> @@ -229,41 +229,84 @@ Die Versionsangaben beziehen sich auf die Versionen, mit denen die MOA ID Webapp </div> <br /><br /> <div id="block"> -<table border="1" width="100%" cellpadding="2" cellspacing="0"> -<tr> -<th>Komponente</th><th>Version</th> -</tr><tr> -<td><a href="http://java.sun.com/j2se/1.3/download.html">JDK</a> </td><td>1.3.1_07   </td> -</tr><tr> -<td><a href="http://java.sun.com/j2se/1.4.1/download.html">JDK</a> </td><td>1.4.1  </td> -</tr><tr> -<td><a href="http://jakarta.apache.org/tomcat/tomcat-4.1-doc/">Tomcat </a> </td><td>4.1.18  </td> -</tr><tr> -<td><a href="http://cio.gv.at/">MOA-ID-AUTH </a> </td><td>1.0  </td> -</tr><tr> -<td><a href="http://cio.gv.at/">MOA-ID-PROXY </a> </td><td>1.0  </td> -</tr><tr> -<td><a href="http://cio.gv.at/">MOA-SPSS </a> </td><td>1.0  </td> -</tr><tr> -<td><a href="http://httpd.apache.org/docs-2.0/">Apache Webserver</a> </td><td>1.3.23   </td> -</tr><tr> -<td><a href="http://www.microsoft.com/windows2000/en/server/iis/default.asp">Microsoft Internet Information Server </a> </td><td>5.0   </td> -</tr><tr> -<td><a href="http://httpd.apache.org/docs-2.0/ssl/">mod_SSL </a> </td><td>(*)  </td> -</tr><tr> -<td><a href="http://jakarta.apache.org/tomcat/tomcat-4.1-doc/jk2/">Jakarta mod_jk </a> </td><td>1.2.2  </td> -</tr><tr> -<td><a href="http://jakarta.apache.org/log4j/docs/index.html">Jakarta Log4j </a> </td><td>1.2.7  </td> -</tr><tr> -<td><a href="http://techdocs.postgresql.org/installguides.php">PostgreSQL </a> </td><td>7.3  </td> -</tr> -</table> + <table border="1" width="100%" cellpadding="2" cellspacing="0"> + <tr> + <th width="59%">Komponente</th> + <th width="41%">Getestete Version</th> + </tr> + <tr> + <td width="59%"><b>JDK (SDK)</b> </td> + <td width="41%"><a href="http://java.sun.com/j2se/1.3/download.html">1.3.1</a> (min. + 1.3.1_07) bzw. <a href="http://java.sun.com/j2se/1.4.1/download.html"><br> + 1.4.1</a> bzw. <a href="http://java.sun.com/j2se/1.4.2/download.html"><br> + 1.4.2</a></td> + </tr> + <tr> + <td width="59%" height="21"><b>Tomcat</b></td> + <td width="41%" height="21"> + <p><a href="http://archive.apache.org/dist/jakarta/tomcat-4/archive/v4.1.18/bin/jakarta-tomcat-4.1.18.zip">4.1.18</a> + bzw.<br> + <a href="http://archive.apache.org/dist/jakarta/tomcat-4/tomcat-4.1.27.zip ">4.1.27 + </a>+ Patch (*)</p> + </td> + </tr> + <tr> + <td width="59%"><b>MOA-ID-AUTH </b></td> + <td width="41%"><a href="http://www.cio.gv.at/onlineservices/basicmodules/moa/implementation/">1.1</a></td> + </tr> + <tr> + <td width="59%"><b>MOA-ID-PROXY </b></td> + <td width="41%"><a href="http://www.cio.gv.at/onlineservices/basicmodules/moa/implementation/">1.1</a>  + </td> + </tr> + <tr> + <td width="59%"><b>MOA-SPSS </b></td> + <td width="41%"><a href="http://www.cio.gv.at/onlineservices/basicmodules/moa/implementation/">1.2</a> </td> + </tr> + <tr> + <td width="59%"><b>Apache Webserver </b></td> + <td width="41%"><a href="http://httpd.apache.org/">1.3.23</a> + bzw.<br> + <a href="http://httpd.apache.org/">2.0.45</a></td> + </tr> + <tr> + <td width="59%"><b>Microsoft Internet Information Server + </b></td> + <td width="41%"><a href="http://www.microsoft.com/windows2000/en/server/iis/default.asp">5.0</a> +   </td> + </tr> + <tr> + <td width="59%"><b>mod_SSL </b></td> + <td width="41%">(<a href="http://httpd.apache.org/docs-2.0/ssl/">**</a>)  + </td> + </tr> + <tr> + <td width="59%"><b>Jakarta mod_jk </b></td> + <td width="41%"><a href="http://jakarta.apache.org/tomcat/tomcat-4.1-doc/jk2/">1.2.2 </a> + </td> + </tr> + <tr> + <td width="59%"><b>Jakarta Log4j </b></td> + <td width="41%"><a href="http://jakarta.apache.org/log4j/docs/index.html">1.2.7</a>  + </td> + </tr> + <tr> + <td width="59%"><b>PostgreSQL </b></td> + <td width="41%"><a href="http://techdocs.postgresql.org/installguides.php">7.3</a>  + </td> + </tr> + </table> </div> -<br /><br /> +<br /> + (*) Aufgrund eines geringfügigen Mangels in Tomcat 4.1.27 + muss eine gepatchte Version von 'tomcat-util.jar' verwendet + werden. Diese gepatchte Version ist in der MOA-ID Distribution + enthalten. <br> + Details: <a href="http://nagoya.apache.org/bugzilla/show_bug.cgi?id=22701">Tomcat-Bugzilla + Bug id=22701</a>. <br> + <br /> -<div id="block"> -(*) passend zur Version des Apache Webservers -</div> + <div id="block"> (**) passend zur Version des Apache Webservers </div> </td></tr></table> <br /><br /> @@ -279,5 +322,5 @@ Die Versionsangaben beziehen sich auf die Versionen, mit denen die MOA ID Webapp </div> -</body> +</div></div></div></div></div></div></body> </html>
\ No newline at end of file diff --git a/id.server/doc/moa_id/id-admin_1.htm b/id.server/doc/moa_id/id-admin_1.htm index f56338747..73d5e3ef9 100644 --- a/id.server/doc/moa_id/id-admin_1.htm +++ b/id.server/doc/moa_id/id-admin_1.htm @@ -67,7 +67,7 @@ Projekt <span style="font-size:48pt; ">moa</span>  <br /> <div id="klein"><a href="moa.htm"><img src="../moa_images/west.gif" border="0" width="13" height="14" /> <b> Zurück</b></a></div> -</br /><br /> +<br /> <div id="slogan"> <b>Installationsschritte: </b> <br /> @@ -87,25 +87,59 @@ Unterschiede sind in der Installationsanweisung angeführt. <div id="vorbereitung" /> <p id="subtitel">Vorbereitung</p> <div id="block"> -<b>Installation des JDK</b><br /> -Installieren Sie das JDK 1.3.1 oder JDK 1.4.1 in ein beliebiges Verzeichnis. Das Wurzelverzeichnis der JDK-Installation wird im weiteren Verlauf als $JAVA_HOME bezeichnet. -<br /><br /> -<b>Installation von Tomcat</b><br /> -Installieren Sie Tomcat in ein Verzeichnis, das keine Leerzeichen im Pfadnamen enthält. Das Wurzelverzeichnis der Tomcat-Installation wird im weiteren Verlauf als $CATALINA_HOME bezeichnet. <b>Hinweis:</b> Tomcat wird in einer Distribution für JDKs ab Version 1.2 und in einer Distribution speziell für JDK 1.4 ausgeliefert. Installieren Sie die zur Version Ihres JDK passende Tomcat-Version. -<br /><br /> -<b>Entpacken der MOA ID Webapplikation</b><br /> -Entpacken Sie die ausgelieferten Dateien der Webapplikation (moa-id-auth-x.y.zip oder moa-id-proxy-x.y.zip; ersetzen Sie x.y durch die Releasenummer von MOA-ID-AUTH bzw. MOA-ID-PROXY) in ein beliebiges Verzeichnis. Diese Verzeichnisse werden im weiteren Verlauf als $MOA_ID_INST_AUTH bzw. $MOA_ID_INST_PROXY bezeichnet. -<br /><br /> -<b>Installation der IAIK JCE, des IAIK LDAP Protocol Handlers und von JSSE (JDK 1.3.1)</b><br /> -Da Java in der Version 1.3.1 ohne Unterstützung für Kryptographie, LDAP und SSL ausgeliefert wird, müssen diese Funktionalitäten nachträglich installiert werden. Es stehen hierfür zwei Möglichkeiten zur Verfügung: <br /> -1. Installation innerhalb des JDK 1.3.1:<br /> -Die Dateien aus dem Verzeichnis $MOA_ID_INST_AUTH/ext13 (oder $MOA_ID_INST_PROXY/ext13) müssen in das Verzeichnis $JAVA_HOME/jre/lib/ext kopiert werden. Anschließend steht eine Unterstützung für Kryptographie und SSL jeder Java-Anwendung die dieses JDK verwendet zur Verfügung.<br /> -2. Installation ausschließlich für Applikationen innerhalb von Tomcat:<br /> -Um die o.g. Unterstützung nur Tomcat-Anwendungen zu ermöglichen, können die Dateien aus dem Verzeichnis $MOA_ID_INST_AUTH/ext13 (oder $MOA_ID_INST_PROXY/ext13) in ein beliebiges Verzeichnis kopiert werden. Im Folgenden wird dieses Verzeichnis $MOA_ID_EXT genannt. Anschließend muss der Tomcat-Klassenpfad angepasst werden:<br/> -Für Windows-Betriebssysteme ist dafür die Datei $CATALINA_HOME\bin\setclasspath.bat anzupassen:<br/> -Hinter <i>'set CLASSPATH=%JAVA_HOME%\lib\tools.jar'</i> müssen nun jeweils mit Semikolon getrennt, die Dateien aus $MOA_ID_EXT inklusive der vollständigen Pfadangaben angefügt werden.<br/> -Anschließend sieht diese Zeile beispielsweise folgendermaßen aus: -<pre> + <p><b>Installation des JDK</b><br /> + Installieren Sie das JDK 1.3.1, JDK 1.4.1 oder JDK 1.4.2 in ein + beliebiges Verzeichnis. Das Wurzelverzeichnis der JDK-Installation + wird im weiteren Verlauf als $JAVA_HOME bezeichnet. <br /> + <br /> + <b>Installation von Tomcat</b><br /> + Installieren Sie Tomcat in ein Verzeichnis, das <b>keine Leer- und + Sonderzeichen</b> im Pfadnamen enthält. Am Besten verwenden + die referenzierte Version von Tomcat im zip-Format. (Hinweis f. + Windows: nicht die selbstinstallierende exe Version verwenden.) + Das Wurzelverzeichnis der Tomcat-Installation wird im weiteren Verlauf + als $CATALINA_HOME bezeichnet. </p> + <p><b>Hinweis:</b> Tomcat 4.1.18 wird in einer Distribution für + JDKs ab Version 1.2 und in einer Distribution speziell für + JDK 1.4 ausgeliefert. Installieren Sie die zur Version Ihres JDK + passende Tomcat-Version. </p> + <p><b>Hinweis:</b> Wenn Sie Tomcat 4.1.27 einsetzen, so müssen + sie $CATALINA_HOME/server/lib/tomcat-util.jar durch die gepatchte + Version welche in der MOA-ID Distribution (*) enthalten ist ersetzen.<br /> + <br /> + <b>Entpacken der MOA ID Webapplikation</b><br /> + Entpacken Sie die ausgelieferten Dateien der Webapplikation (moa-id-auth-x.y.zip + oder moa-id-proxy-x.y.zip; ersetzen Sie x.y durch die Releasenummer + von MOA-ID-AUTH bzw. MOA-ID-PROXY) in ein beliebiges Verzeichnis. + Diese Verzeichnisse werden im weiteren Verlauf als $MOA_ID_INST_AUTH + bzw. $MOA_ID_INST_PROXY bezeichnet. <br /> + <br /> + <b>Installation der IAIK JCE, des IAIK LDAP Protocol Handlers und + von JSSE (JDK 1.3.1)</b><br /> + Da Java in der Version 1.3.1 ohne Unterstützung für Kryptographie, + LDAP und SSL ausgeliefert wird, müssen diese Funktionalitäten + nachträglich installiert werden. Es stehen hierfür zwei + Möglichkeiten zur Verfügung: <br /> + 1. Installation innerhalb des JDK 1.3.1:<br /> + Die Dateien aus dem Verzeichnis $MOA_ID_INST_AUTH/ext13 (oder $MOA_ID_INST_PROXY/ext13) + müssen in das Verzeichnis $JAVA_HOME/jre/lib/ext kopiert werden. + Anschließend steht eine Unterstützung für Kryptographie + und SSL jeder Java-Anwendung die dieses JDK verwendet zur Verfügung.<br /> + 2. Installation ausschließlich für Applikationen innerhalb + von Tomcat:<br /> + Um die o.g. Unterstützung nur Tomcat-Anwendungen zu ermöglichen, + können die Dateien aus dem Verzeichnis $MOA_ID_INST_AUTH/ext13 + (oder $MOA_ID_INST_PROXY/ext13) in ein beliebiges Verzeichnis kopiert + werden. Im Folgenden wird dieses Verzeichnis $MOA_ID_EXT genannt. + Anschließend muss der Tomcat-Klassenpfad angepasst werden:<br/> + Für Windows-Betriebssysteme ist dafür die Datei $CATALINA_HOME\bin\setclasspath.bat + anzupassen:<br/> + Hinter <i>'set CLASSPATH=%JAVA_HOME%\lib\tools.jar'</i> müssen + nun jeweils mit Semikolon getrennt, die Dateien aus $MOA_ID_EXT + inklusive der vollständigen Pfadangaben angefügt werden.<br/> + Anschließend sieht diese Zeile beispielsweise folgendermaßen + aus: </p> + <pre> set CLASSPATH=%JAVA_HOME%\lib\tools.jar; $MOA_ID_EXT\iaik_jce_full.jar; $MOA_ID_EXT\iaik_ldap.jar; @@ -113,14 +147,29 @@ Anschließend sieht diese Zeile beispielsweise folgendermaßen aus: $MOA_ID_EXT\jnet.jar; $MOA_ID_EXT\jsse.jar </pre> -($MOA_ID_EXT ist durch den tatsächlichen Pfad zu ersetzen)<br /> -Unix/Linux-Anwender verfahren analog mit der Datei $CATALINA_HOME/bin/setclasspath.sh wobei ';' durch ':' zu ersetzen ist.<br /><br /> -<b>Installation der IAIK JCE und des IAIK LDAP Protocol Handlers (JDK 1.4.1)</b><br /> -Die Dateien aus dem Verzeichnis $MOA_ID_INST_AUTH/ext14 (oder $MOA_ID_INST_PROXY/ext14) müssen in das Verzeichnis $JAVA_HOME/jre/lib/ext kopiert werden. Anschließend steht eine Unterstützung für Kryptographie und SSL jeder Java-Anwendung die dieses JDK verwendet zur Verfügung.<br /> -Zusätzlich müssen die so genannten "Unlimited Strength Jurisdiction Policy Files 1.4.1" heruntergeladen, entpackt und ins Verzeichnis $JAVA_HOME/jre/lib/security kopiert werden. Der Download für diese Dateien findet sich am unteren Ende der <a href="http://java.sun.com/j2se/1.4.1/download.html">Download-Seite für das JDK 1.4.1</a> in der Sektion "Other Downloads". -</div> + <p>($MOA_ID_EXT ist durch den tatsächlichen Pfad zu ersetzen)<br /> + Unix/Linux-Anwender verfahren analog mit der Datei $CATALINA_HOME/bin/setclasspath.sh + wobei ';' durch ':' zu ersetzen ist.<br /> + <br /> + <b>Installation der IAIK JCE und des IAIK LDAP Protocol Handlers + (JDK 1.4.1 bzw. JDK 1.4.2)</b><br /> + Die Dateien aus dem Verzeichnis $MOA_ID_INST_AUTH/ext14 (oder $MOA_ID_INST_PROXY/ext14) + müssen in das Verzeichnis $JAVA_HOME/jre/lib/ext kopiert werden. + Anschließend steht eine Unterstützung für Kryptographie + und SSL jeder Java-Anwendung die dieses JDK verwendet zur Verfügung.<br> + <br /> + Zusätzlich müssen die so genannten Unlimited Strength + Jurisdiction Policy Files 1.4.1 (bzw. 1.4.2) heruntergeladen, entpackt + und ins Verzeichnis $JAVA_HOME/jre/lib/security kopiert werden. + </p> + <p>Der Download für diese Dateien findet sich am unteren Ende + der Download-Seite des jeweiligen JDK 1.4.x in der Sektion "Other + Downloads". D.h. <a href="http://java.sun.com/j2se/1.4.1/download.html">JDK + hier für 1.4.1</a> bzw. das JDK <a href="http://java.sun.com/j2se/1.4.2/download.html">hier + für 1.4.2</a>.</p> + </div> -</td></tr></table> +</div></td></tr></table> <div id="Tomcat" /> <table width="650" border="0" cellpadding="10" cellspacing="0"> @@ -174,24 +223,49 @@ Um diese Benutzer-Rolle und einen oder mehrere Benutzer einzurichten, müsse <p id="subtitel">Deployment von MOA-ID-AUTH in Tomcat</p> <div id="block"> Um MOA-ID-AUTH in Tomcat für den Ablauf vorzubereiten, sind folgende Schritte notwendig: <br /> -<ul> -<li>Die Datei $MOA_ID_INST_AUTH/moa-id-auth.war wird ins Verzeichnis $CATALINA_HOME/webapps kopiert. Dort wird sie beim ersten Start von Tomcat automatisch ins Verzeichnis $CATALINA_HOME/webapps/moa-id-auth entpackt. </li> -<li>Die MOA-ID Konfigurationsdatei und die zugehörigen Verzeichnisse "certs" und "transforms" werden in ein beliebiges Verzeichnis im Filesystem kopiert (z.B. $CATALINA_HOME/conf/moa-id). <br />In $MOA_ID_INST_AUTH/conf/moa-id befindet sich eine funktionsfähige Konfiguration, die als Ausgangspunkt für die Konfiguration von MOA-ID-AUTH dienen kann. </li> -<li>Die endorsed Libraries für Tomcat müssen aus dem Verzeichnis $MOA_ID_INST_AUTH/endorsed in das Tomcat-Verzeichnis $CATALINA_HOME/common/endorsed kopieren werden. Folgende Libraries sind für das Deployment im endorsed Verzeichnis vorgesehen: -<ul> -<li id="klein">Xerces-J-2.0.2 (bestehend aus xercesImpl.jar und xmlParserAPIs.jar)</li> -</ul> -Eventuell vorhandene Dateien mit dem gleichen Namen müssen ersetzt werden. -</li> -<li>Folgende Java System Properties sind zu setzen: <br /> -<ul id="klein"> -<li id="klein">moa.id.configuration=Name der MOA ID Konfigurationsdatei. Eine beispielhafte MOA ID Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/ SampleMOAIDConfiguration.xml enthalten.</li> -<li id="klein">log4j.configuration=URL der Log4j Konfigurationsdatei. Eine beispielhafte Log4j-Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/log4j.properties enthalten. </li> -<li id="klein">javax.net.ssl.trustStore=Name des Truststores für vertrauenswürdige SSL Client-Zertifikate (optional; nur, wenn SSL Client-Authentisierung durchgeführt werden soll). </li> -</ul> -Diese Java System-Properties werden Tomcat über die Umgebungsvariable CATALINA_OPTS mitgeteilt -(siehe Beispiele für <a href="examples/moa-id-env-windows.txt">Windows</a> und für <a href="examples/moa-id-env-linux.txt">Linux</a>). -</ul> + <ul> + <li>Die Datei $MOA_ID_INST_AUTH/moa-id-auth.war wird ins Verzeichnis + $CATALINA_HOME/webapps kopiert. Dort wird sie beim ersten Start + von Tomcat automatisch ins Verzeichnis $CATALINA_HOME/webapps/moa-id-auth + entpackt. </li> + <li>Die MOA-ID Konfigurationsdatei und die zugehörigen Verzeichnisse + "certs" und "transforms" werden in ein beliebiges Verzeichnis + im Filesystem kopiert (z.B. $CATALINA_HOME/conf/moa-id). <br /> + In $MOA_ID_INST_AUTH/conf/moa-id befindet sich eine funktionsfähige + Konfiguration, die als Ausgangspunkt für die Konfiguration + von MOA-ID-AUTH dienen kann. </li> + <li>Die endorsed Libraries für Tomcat müssen aus dem + Verzeichnis $MOA_ID_INST_AUTH/endorsed in das Tomcat-Verzeichnis + $CATALINA_HOME/common/endorsed kopieren werden. Folgende Libraries + sind für das Deployment im endorsed Verzeichnis vorgesehen: + <ul> + <li id="klein">Xerces-J-2.0.2 (bestehend aus xercesImpl.jar + und xmlParserAPIs.jar) - für alle JDKs.<br> + </li> + <li>Nur im Fall von JDK 1.4.1: kopieren sie auch die Xalan-j-2.2 + Libraries ( bestehend aus bsf.jar und xalan.jar).</li> + </ul> + Eventuell vorhandene Dateien mit dem gleichen Namen müssen + ersetzt werden.</li> + <li>Folgende Java System Properties sind zu setzen: <br /> + <ul id="klein"> + <li id="klein">moa.id.configuration=Name der MOA ID Konfigurationsdatei. + Eine beispielhafte MOA ID Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/ + SampleMOAIDConfiguration.xml enthalten.</li> + <li id="klein">log4j.configuration=URL der Log4j Konfigurationsdatei. + Eine beispielhafte Log4j-Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/log4j.properties + enthalten. </li> + <li id="klein">javax.net.ssl.trustStore=Name des Truststores + für vertrauenswürdige SSL Client-Zertifikate (optional; + nur, wenn SSL Client-Authentisierung durchgeführt werden + soll). </li> + </ul> + Diese Java System-Properties werden Tomcat über die Umgebungsvariable + CATALINA_OPTS mitgeteilt (Beispiel-Skripte zum Setzen dieser + Properties für <b>Windows</b> und für <b>Unix bzw + Linux</b> finden sie unter $MOA_ID_INST_AUTH/tomcat/win32 bzw. + $MOA_ID_INST_AUTH/tomcat/unix). + </ul> </div> </td></tr></table> @@ -208,29 +282,62 @@ Diese Java System-Properties werden Tomcat über die Umgebungsvariable CATAL <p id="subtitel">Deployment von MOA-ID-PROXY in Tomcat</p> <div id="block"> Um MOA-ID-PROXY in Tomcat für den Ablauf vorzubereiten, sind folgende Schritte notwendig: <br /> -<ul> -<li>Die Datei $MOA_ID_INST_PROXY/moa-id-proxy.war wird in ein beliebiges Verzeichnis (bspw. $CATALINA_HOME) kopiert. <b>HINWEIS: Das Verzeichnis darf NICHT $CATALINA_HOME/webapps sein!</b><br /> - Anschliessend muss in der Datei <tt>$CATALINA_HOME/conf/server.xml</tt> der Tomcat-Root-Context auf diese Datei gesetzt werden: wenn das war-file sich in $CATALINA_HOME befindet, geschieht dies mit dem Einfügen von folgendem Element innerhalb von <tt><Server>...<Service>...<Engine>...<Host></tt>: </li> -<pre><Context path="" docBase="../moa-id-proxy.war" debug="0"/></pre> -Anmerkung: Der Root-Context von Tomcat ist normalerweise auskommentiert. <br /><br /> -<li>Die MOA-ID Konfigurationsdatei und die zugehörigen Verzeichnisse "certs" und "oa" werden in ein beliebiges Verzeichnis im Filesystem kopiert (z.B. $CATALINA_HOME/ conf/moa-id). <br /> -In $MOA_ID_INST_PROXY/conf/moa-id befindet sich eine funktionsfähige Konfiguration, die als Ausgangspunkt für die Konfiguration von MOA-ID-PROXY dienen kann. </li> -<li>Die endorsed Libraries für Tomcat müssen aus dem Verzeichnis $MOA_ID_INST_PROXY/endorsed in das Tomcat-Verzeichnis $CATALINA_HOME/common/endorsed kopiert werden. Folgende Libraries sind für das Deployment im endorsed Verzeichnis vorgesehen: -<ul> -<li id="klein">Xerces-J-2.0.2 (bestehend aus xercesImpl.jar und xmlParserAPIs.jar)</li> -</ul> -Eventuell vorhandene Dateien mit dem gleichen Namen müssen ersetzt werden. -</li> -<li>Folgende Java System Properties sind zu setzen: <br /> -<ul id="klein"> -<li id="klein">moa.id.configuration=Name der MOA ID Konfigurationsdatei. Eine beispielhafte MOA ID Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/ SampleMOAIDConfiguration.xml enthalten.</li> -<li id="klein">log4j.configuration=URL der Log4j Konfigurationsdatei. Eine beispielhafte Log4j-Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/log4j.properties enthalten. </li> -<li id="klein">javax.net.ssl.trustStore=Name des Truststores für vertrauenswürdige SSL Client-Zertifikate (optional; nur, wenn SSL Client-Authentisierung durchgeführt werden soll). </li> -</ul> -Diese Java System-Properties werden Tomcat über die Umgebungsvariable CATALINA_OPTS mitgeteilt -(siehe Beispiele für <a href="examples/moa-id-env-windows.txt">Windows</a> und für <a href="examples/moa-id-env-linux.txt">Linux</a>). -</ul> -</div> + <ul> + <li>Die Datei $MOA_ID_INST_PROXY/moa-id-proxy.war wird in ein + beliebiges Verzeichnis (bspw. $CATALINA_HOME) kopiert. <b>HINWEIS: + Das Verzeichnis darf NICHT $CATALINA_HOME/webapps sein!</b><br> + <br /> + Anschliessend muss in der Datei <tt>$CATALINA_HOME/conf/server.xml</tt> + der Tomcat-Root-Context auf diese Datei gesetzt werden: wenn + das war-file sich in $CATALINA_HOME befindet, geschieht dies + mit dem Einfügen von folgendem Element innerhalb von + <tt><Server>...<Service>...<Engine>...<Host></tt>: + </li> + <pre><Context path="" docBase="../moa-id-proxy.war" debug="0"/></pre> + Anmerkung: Der Root-Context von Tomcat ist normalerweise auskommentiert. + <br /> + <br /> + <li>Die MOA-ID Konfigurationsdatei und die zugehörigen + Verzeichnisse "certs" und "oa" werden in ein beliebiges Verzeichnis + im Filesystem kopiert (z.B. $CATALINA_HOME/ conf/moa-id). + <br /> + In $MOA_ID_INST_PROXY/conf/moa-id befindet sich eine funktionsfähige + Konfiguration, die als Ausgangspunkt für die Konfiguration + von MOA-ID-PROXY dienen kann. </li> + <li>Die endorsed Libraries für Tomcat müssen aus dem + Verzeichnis $MOA_ID_INST_PROXY/endorsed in das Tomcat-Verzeichnis + $CATALINA_HOME/common/endorsed kopiert werden. Folgende Libraries + sind für das Deployment im endorsed Verzeichnis vorgesehen: + <ul> + <li id="klein">Xerces-J-2.0.2 (bestehend aus xercesImpl.jar + und xmlParserAPIs.jar)</li> + </ul> + Eventuell vorhandene Dateien mit dem gleichen Namen müssen + ersetzt werden. </li> + <li>Folgende Java System Properties sind zu setzen: <br /> + <ul id="klein"> + <li id="klein">moa.id.configuration=Name der MOA ID Konfigurationsdatei. + Eine beispielhafte MOA ID Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/ + SampleMOAIDConfiguration.xml enthalten.</li> + <li id="klein">log4j.configuration=URL der Log4j Konfigurationsdatei. + Eine beispielhafte Log4j-Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/log4j.properties + enthalten. </li> + <li id="klein">javax.net.ssl.trustStore=Name des Truststores + für vertrauenswürdige SSL Client-Zertifikate + (optional; nur, wenn SSL Client-Authentisierung durchgeführt + werden soll). </li> + </ul> + Diese Java System-Properties werden Tomcat über die Umgebungsvariable + CATALINA_OPTS mitgeteilt (siehe Beispiele für <a href="examples/startTomcat.bat.txt">Windows</a> + und für <a href="examples/moa-id-env.sh.txt">Unix/Linux</a>). + <br> + <br> + Beispiel-Skripts zum Setzen von CATALINA_OPTS und zum Starten + von Tomcat sind in $MOA_ID_INST_AUTH\tomcat\ zu finden - Sie + können diese für Ihre Zwecke adaptieren (JAVA_HOME + und $CATALINA_HOME setzen) und nach $CATALINA_HOME kopieren. + </ul> + </div> </td></tr></table> <div id="Tomcat_Start" /> @@ -243,10 +350,11 @@ Diese Java System-Properties werden Tomcat über die Umgebungsvariable CATAL </td> <td valign="top"> <p id="subtitel">Starten und Stoppen von Tomcat </p> -<div id="block"> -Nach dem Deployment und der Konfiguration kann Tomcat aus seinem Wurzelverzeichnis mit <br /> -<pre> - bin\catalina start (unter Windows) oder + <div id="block"> Nach dem Deployment und der Konfiguration kann + Tomcat aus seinem Wurzelverzeichnis ($CATALINA_HOME) mit <br /> + <pre> + startTomcat (unter Windows) oder + moa-id-env.sh bin/catalina.sh start (unter Unix/Linux) </pre> gestartet werden. Das Stoppen von Tomcat erfolgt analog mit <br /> @@ -293,7 +401,7 @@ FATAL | 03 13:19:06,924 | main | Fehler </pre> In diesem Fall geben die WARN bzw. ERROR Log-Meldungen unmittelbar davor Aufschluss über den genaueren Grund. <br /> </div> -</td></tr></table> +</div></td></tr></table> <div id="Logging" /> @@ -376,11 +484,20 @@ Wenn nun versucht wird, eine Transaktion mit einer ungültigen SessionID fort (MOASessionID=-8650403497547200032) </pre> <div id="block"> -In diesem Fall gibt der mitgeloggte Stacktrace Auskunft über die Art des Fehlers. Der Aufrufer der MOA ID Webapplikation bekommt einen Fehlercode sowie eine kurze Beschreibung des Fehlers als Antwort zurück. -<br /><br /> -Die Tatsächlich übertragenen Anfragen bzw. Antworten werden aus Effizienzgründen nur im Log-Level DEBUG angezeigt. -</div> -</td></tr></table> + <p>In diesem Fall gibt der mitgeloggte Stacktrace Auskunft + über die Art des Fehlers. Der Aufrufer der MOA ID + Webapplikation bekommt einen Fehlercode sowie eine kurze + Beschreibung des Fehlers als Antwort zurück. <br /> + <br /> + Die Tatsächlich übertragenen Anfragen bzw. Antworten + werden aus Effizienzgründen nur im Log-Level DEBUG + angezeigt. </p> + <hr /> + <p>(*) Die gepatchte Version von tomcat-util.jar ist im + Verzeichnis $MOA_ID_INST_AUTH\tomcat\tomcat-util-4.1.27-patched\ + zu finden.</p> + </div> +</div></td></tr></table> <br /><br /> @@ -396,5 +513,5 @@ Die Tatsächlich übertragenen Anfragen bzw. Antworten werden aus Effizi </div> -</body> +</div></div></div></div></div></body> </html>
\ No newline at end of file diff --git a/id.server/doc/moa_id/id-admin_2.htm b/id.server/doc/moa_id/id-admin_2.htm index b4e22a36b..3bf2a6892 100644 --- a/id.server/doc/moa_id/id-admin_2.htm +++ b/id.server/doc/moa_id/id-admin_2.htm @@ -110,286 +110,490 @@ Projekt <span style="font-size:48pt; ">moa</span>  </td> -<td valign="top"> -<div id="titel">Konfiguration von MOA ID v.1.1</div> - -<div id="moaid-konfiguration" /> -<p id="subtitel">Konfiguration von MOA ID v.1.1</p> -<p id="block"> -Die Konfiguration von MOA ID wird mittels einer XML-basierten Konfigurationsdatei, die dem Schema -<a href="../MOA-ID-Configuration-1.1.xsd" target="_new">MOA-ID-Configuration-1.1.xsd</a> entspricht, durchgeführt. -<p /> -Der Ort der Konfigurationsdatei wird im Abschnitt <a href="id-admin_1.htm#deployment">Deployment der Web-Applikation -in Tomcat</a> beschrieben. -<p /> -Die folgenden Abschnitte erläutern das Format der Konfigurationsdatei. -<a href="examples/conf/MOA-ID-Configuration.xml" target="_new">MOA-ID-Configuration.xml</a> zeigt ein Beispiel -für eine umfassende Konfigurationsdatei. -</p> -Enthält die Konfigurationsdatei relative Pfadangaben, werden diese relativ zum Verzeichnis, in dem Tomcat gestartet wurde, interpretiert. - -<div id="ConnectionParameter" /> -<p id="block"> -<b>ConnectionParameter</b> <br /> -Das Element <tt>ConnectionParameter</tt> enthält Parameter, die MOA-ID für den Aufbau von Verbindungen zu anderen Komponenten -benötigt. Dieses Element tritt mehrfach in der Konfigurationsdatei auf und wird daher vorab detailliert beschrieben. -<br /><br /> -Das Attribut <tt>URL</tt> enthält die URL der Komponente zu der die Verbindung aufgebaut werden soll. -Wird das Schema <tt>https</tt> verwendet, können die Kind-Elemente <tt>AcceptedServerCertificates</tt> -und <tt>ClientKeyStore</tt> angegeben werden. Wird das Schema <tt>http</tt> verwendet müssen keine Kind-Elemente -angegeben werden bzw. werden diese nicht ausgewertet. Andere Schemas werden nicht unterstützt. -<br /><br /> -Wird die Verbindung über TLS aufgebaut und erfordert der TLS-Server eine Client-Authentisierung -mittels Zertifikate, dann muss das Kind-Element <tt>ClientKeyStore</tt> spezifiziert werden, und es muss -eine URL enthalten, die einen PKCS#12-Keystore mittels URL-Schema 'file:' referenziert. -Diesem Keystore wird der private Schlüssel für die TLS-Client-Authentisierung entnommen. -Das Passwort zum Lesen des privaten Schlüssels wird im Attribut <tt>ClientKeyStore/@password</tt> konfiguriert.<br /> -Aufgrund der Tatsache, dass starke Verschlüsselung eine Voraussetzung für MOA-ID darstellt, werden clientseitig nur die folgenden Cipher Suites unterstützt:<br/> -<ul> -<li><tt>SSL_RSA_WITH_RC4_128_SHA</tt></li> -<li><tt>SSL_RSA_WITH_RC4_128_MD5</tt></li> -<li><tt>SSL_RSA_WITH_3DES_EDE_CBC_SHA</tt></li> -</ul> -Im Kind-Element <tt>AcceptedServerCertificates</tt> kann ein Verzeichnisname angegeben werden, in dem die -akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. Dieses Verzeichnis wird mittels URL-Schema 'file:' referenziert. In diesem Verzeichnis werden nur Serverzertifikate -abgelegt. Fehlt dieser Parameter wird lediglich überprüft ob ein Zertifikatspfad zu den im Element <tt><TrustedCACertificates></tt> angegebenen Zertifikaten erstellt werden kann. Falls dies nicht möglich ist, kommt es zu einem Fehlerfall. -</p> - - -<div id="AuthComponent" /> -<p id="block"> -<b>AuthComponent</b> <br /> -<tt>AuthComponent</tt> enthält Parameter, die nur die MOA-ID Authentisierungskomponente betreffen. -Das Element ist optional und muss nicht verwendet werden, wenn auf dem Server keine MOA-ID Authentisierungskomponente -installiert wird. -<br /><br /> -Das Element <tt>AuthComponent</tt> hat vier Kind-Element: -<ul> -<li><tt>BKUSelection</tt> (optional)</li> -<li><tt>SecurityLayer</tt></li> -<li><tt>MOA-SP</tt></li> -<li><tt>IdentityLinkSigners</tt></li> -</ul> -</p> - -<div id="BKUSelection" /> -<p id="block"> -<b>AuthComponent/BKUSelection</b> <br /> -Das optionale Element <tt>BKUSelection</tt> enthält Parameter zur Nutzung eines Auswahldienstes für eine -Bürgerkartenumgebung (BKU). Wird das Element nicht angegeben, dann wird die lokale Bürgerkartenumgebung -auf <tt>http://localhost:3495/http-security-layer-request</tt> verwendet. -<br /><br /> -Das Attribut <tt>BKUSelectionAlternative</tt> gibt an welche Alternative zur BKU-Auswahl verwendet werden soll. MOA-ID -unterstützt die Werte <tt>HTMLComplete</tt> (vollständige HTML-Auswahl) und <tt>HTMLSelect</tt> (HTML-Code für Auswahl) -[<a href="../bku-auswahl.20030408.pdf">"Auswahl von Bürgerkartenumge-bungen"</a>, Arno Hollosi]. -<br /><br /> -Das Kind-Element <tt>ConnectionParameter</tt> spezifiziert die Verbindung zum Auswahldienst (siehe -<a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a>), jedoch kann das Kind-Element <tt>ClientKeyStore</tt> -nicht angegeben werden. -</p> - -<div id="SecurityLayer" /> -<p id="block"> -<b>AuthComponent/SecurityLayer</b> <br /> -Das Element <tt>SecurityLayer</tt> enthält Parameter zur Nutzung des Security-Layers. -<br /><br /> -Das Kind-Element <tt>TransformsInfo</tt> spezifiziert eine Transformation, die für die Erstellung der Signatur -des AUTH-Blocks als Parameter in den <tt>CreateXMLSignatureRequest</tt> des Security-Layers integriert werden muss. -Mehrere unterschiedliche Implementierungen des Security-Layer können durch die Angabe mehrerer <tt>TransformsInfo</tt>-Elemente unterstützt werden. -<br /><br /> -Das Attribut <tt>TransformsInfo/@filename</tt> verweist auf eine Datei, die das globale Element <tt>TransformsInfo</tt> vom Typ -<tt>TransformsInfo</tt> enthält. Das Encoding dieser Datei muss (anders als im Beispiel) UTF-8 sein. -<br /><br /> -<a href="examples/TransformsInfoAuthBlock.txt">Beispiel für eine TransformsInfo-Datei</a> -</p> - -<div id="MOA-SP" /> -<p id="block"> -<b>AuthComponent/MOA-SP</b> <br /> -Das Element <tt>MOA-SP</tt> enthält Parameter zur Nutzung von MOA-SP. MOA-SP wird für die überprüfung der Signatur -der Personenbindung und des AUTH-Blocks verwendet. -<br /><br /> -Wird das Kind-Element <tt>ConnectionParameter</tt> angegeben, dann wird MOA-SP über das Webservice angesprochen, andernfalls -wird MOA-SP über das API angesprochen. -<br /><br /> -Das Kind-Element <tt>VerifyIdentityLink/TrustProfileID</tt> spezifiziert eine TrustProfileID, die für den -<tt>VerifyXMLSignatureRequest</tt> zur überprüfung der Signatur der Personenbindung verwendet werden muss. -<br /><br /> -Die Kind-Elemente <tt>VerifyAuthBlock/TrustProfileID</tt> und <tt>VerifyAuthBlock/VerifyTransformsInfoProfileID</tt> -spezifizieren eine TrustProfileID und eine ID für ein Transformationsprofil, die für den -<tt>VerifyXMLSignatureRequest</tt> zur überprüfung der Signatur des Auth-Blocks verwendet werden müssen. -</p> - -<div id="IdentityLinkSigners" /> -<p id="block"> -<b>AuthComponent/IdentityLinkSigners</b> <br /> -Dieses Element gibt an von welchen Signatoren die Signatur des IdentityLink erstellt werden musste -damit der IdentityLink akzeptiert wird. Für jeden Signator muss der <tt>X509SubjectName</tt> nach RFC 2253 -spezifiziert werden. -<br /><br /> -<a href="examples/IdentityLinkSigners.txt">Beispiel</a> -<br /><br /> -</p> - -<div id="ProxyComponent" /> -<p id="block"> -<b>ProxyComponent</b> <br /> -<tt>ProxyComponent</tt> enthält Parameter, die nur die MOA-ID Proxykomponente betreffen. -Das Element ist optional und muss nicht verwendet werden, wenn auf dem Server keine MOA-ID Proxykomponente -installiert wird. -<br /><br /> -Das Element <tt>ProxyComponent</tt> hat nur das Kind-Element <tt>AuthComponent</tt>, das die Verbindung zur -Authentisierungs-komponente beschreibt. -<br /><br /> -Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente -über ein Webservice auf, dann muss das Element <tt>ConnectionParameter</tt> spezifiziert werden. -<br /><br /> -Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente -über das API auf, dann wird das Element <tt>ConnectionParameter</tt> nicht spezifiziert. -</p> - -<div id="OnlineApplication" /> -<p id="block"> -<b>OnlineApplication</b> <br /> -Für jede Online-Applikation, die über MOA-ID authentisiert wird, gibt es ein Element <tt>OnlineApplication</tt>. -Die Parameter betreffen teils die MOA-ID Authentisierungskomponente, teils die MOA-ID Proxykomponente, teils beide. -<br /><br /> -Das Attribut <tt>OnlineApplication/@publicURLPrefix</tt> entspricht dem URL-Präfix der nach außen sichtbaren -Domäne der Online-Applikation, welcher von der MOA-ID Proxykomponente durch den URL-Präfix der wirklichen -Domäne (Attribut <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>) ersetzt wird. -Es dient als Schlüssel zum Auffinden der Konfigurationsparameter zur Online-Applikation. -<br /><br /> -Das Element <tt>OnlineApplication</tt> hat optional zwei Kind-Elemente: <tt>AuthComponent</tt> und <tt>ProxyComponent</tt>. -</p> - -<div id="OnlineApplication/AuthComponent" /> -<p id="block"> -<b>OnlineApplication/AuthComponent</b> <br /> -Das Element <tt>OnlineApplication/AuthComponent</tt> muss verwendet werden wenn auf dem Server die Authentisierungskomponente -installiert wird. Es enthält Parameter, die das Verhalten der Authentisierungskomponente bezüglich der Online-Applikation -konfiguriert. -<br /><br /> -Das Attribut <tt>provideZMRZahl</tt> bestimmt, ob die ZMR-Zahl in den Anmeldedaten aufscheint. -Analog steuern die Attribute <tt>provideAUTHBlock</tt> und <tt>provideIdentityLink</tt>, ob die Anmeldedaten -den Auth-Block bzw. die Personenbindung enthalten. Alle Attribute sind optional und haben den Default-Wert <tt>false</tt>. -<br /><br /> -</p> - -<div id="OnlineApplication/ProxyComponent" /> -<p id="block"> -<b>OnlineApplication/ProxyComponent</b> <br /> -Das Element <tt>OnlineApplication/ProxyComponent</tt> muss verwendet werden wenn auf dem Server die Proxykomponente -installiert wird. -<br /><br /> -Das optionale Attribut <tt>configFileURL</tt> verweist auf eine Konfigurationsdatei die dem Schema -<a href="../MOA-ID-Configuration-1.1.xsd" target="_new">MOA-ID-Configuration-1.1.xsd</a> entspricht mit Dokument-Element -<tt>Configuration</tt>.<br /> -Default-Wert: <tt>http://<realURLPrefix>/MOAConfig.xml</tt> -<br/>(<tt><realURLPrefix></tt> entspricht dem Wert von <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>) -<br /><br /> -Das optionale Attribut <tt>sessionTimeOut</tt> legt das Timeout einer Benutzersession in der -Proxykomponente in Sekunden fest.<br /> -Default-Wert: 3600 -<br /><br /> -Im optionalen Attribut <tt>loginParameterResolverImpl</tt> kann der Klassenname eines -zu verwendenden <tt>LoginParameterResolver</tt> angegeben werden, welcher die Defaultimplementierung ersetzt. -<br /><br /> -Im optionalen Attribut <tt>connectionBuilderImpl</tt> kann der Klassenname eines zu verwendenden -ConnectionBuilder angegeben werden, welcher die Defaultimplementierung ersetzt. -<br /><br /> -Im Kind-Element <tt>ConnectionParameter</tt> ist konfiguriert, wie MOA-ID-PROXY zur Online-Applikation verbindet. -</p> - -<div id="ChainingModes" /> -<p id="block"> -<b>ChainingModes</b><br /> -Das Element <tt>ChainingModes</tt> definiert, ob bei der Zertifikatspfad-überprüfung das Kettenmodell -(<tt>"chaining"</tt>) oder das Modell nach PKIX RFC 3280 (<tt>"pkix"</tt>) verwendet werden soll. -<br /><br /> -Das Attribut <tt>systemDefaultMode</tt> spezifiziert das Modell, das im Standardfall verwendet werden soll. -<br/><br/> -Mit dem Kind-Element <tt>TrustAnchor</tt> kann für jeden Trust Anchor ein abweichendes Modell spezifiziert werden. -Ein Trust Anchor ist ein Zertifikat, das in <tt>TrustedCACertificates</tt> spezifiziert ist. -Ein Trust Anchor wird durch den Typ <tt><dsig:X509IssuerSerialType></tt> spezifiziert. -Das für diesen Trust Anchor gültige Modell wird durch das Attribut <tt>mode</tt> spezifiziert. -<br/><br/> -Gültige Werte für die Attribute <tt>systemDefaultMode</tt> und <tt>mode</tt> sind <tt>"chaining"</tt> und <tt>"pkix"</tt>. -<br/><br/> -<a href="examples/ChainingModes.txt">Beispiel</a> -</p> - -<div id="TrustedCACertificates" /> -<p id="block"> -<b>TrustedCACertificates</b><br /> -Das Element <tt>TrustedCACertificates</tt> enthält eine URL, die auf ein Verzeichnis verweist, das jene Zertifikate -enthält, die als vertrauenswürdig betrachtet werden. Diese URL muss mittels URL-Schema 'file:' referenziert werden. Im Zuge der Überprüfung der TLS-Serverzertifikate wird die -Zertifikatspfaderstellung an einem dieser Zertifikate beendet. -</p> - -<div id="GenericConfiguration" /> -<p id="block"> -<b>GenericConfiguration</b><br /> -Das Element <tt>GenericConfiguration</tt> ermöglicht das Setzen von Namen-Werte Paaren mittels der Attribute -<tt>name</tt> und <tt>value</tt>. Die folgende Liste spezifiziert -<ul> -<li>gültige Werte für das name-Attribut, </li> -<li>eine Beschreibung </li> -<li>gültige Werte für das value-Attribut und (falls vorhanden)</li> -<li>den Default-Wert für das value-Attribut. </li> -</ul> - -<table border="0" cellspacing="3" cellpadding="2"> -<tr id="DirectoryCertStoreParameters.RootDir"><th align="left">name: DirectoryCertStoreParameters.RootDir</th></tr> -<tr><td id="info"> -Gibt den Pfadnamen zu einem Verzeichnis an, das als Zertifikatsspeicher im Zuge der TLS-Server-Zertifikatsüberprüfung -verwendet wird.<br /> -<hr /> -<b>value: </b><br /> -Gültige Werte: Name eines gültigen Verzeichnisses<br /> -<b>Dieser Parameter muss angegeben werden.</b> -</td></tr> -</table> - -<table border="0" cellspacing="3" cellpadding="2"> -<tr id="AuthenticationSession.TimeOut"><th align="left">name: AuthenticationSession.TimeOut</th></tr> -<tr><td id="info"> -Gibt die Zeitspanne in Sekunden vom Beginn der Authentisierung bis zum Anlegen der Anmeldedaten an. -Wird die Angegebene Zeitspanne überschritten wird der Anmeldevorgang abgebrochen. -<br /> -<hr /> -<b>value: </b><br /> -Gültige Werte: positive Ganzzahlen <br /> -Default-Wert: 120 -</td></tr> -</table> - -<table border="0" cellspacing="3" cellpadding="2"> -<tr id="AuthenticationData.TimeOut"><th align="left">name: AuthenticationData.TimeOut</th></tr> -<tr><td id="info"> -Gibt die Zeitspanne in Sekunden an, für die die Anmeldedaten in der Authentisierungskomponente zum Abholen -durch die Proxykomponente oder eine nachfolgende Applikation bereitstehen. Nach Ablauf dieser Zeitspanne werden die Anmeldedaten gelöscht.<br /> -<hr /> -<b>value: </b><br /> -Gültige Werte: positive Ganzzahlen<br /> -Default-Wert: 600 -</td></tr> -</table> - -<table border="0" cellspacing="3" cellpadding="2"> -<tr id="TrustManager.RevocationChecking"><th align="left">name: TrustManager.RevocationChecking</th></tr> -<tr><td id="info"> -Für die TLS-Server-Authentisierung dürfen nur Server-Zertifikate verwendet werden, die eine CRLDP-Extension enthalten (andernfalls kann von MOA-ID keine CRL-überprüfung durchgeführt werden). -<br />Soll das RevocationChecking generell ausgeschaltet werden, ist dieses Attribut anzugeben und auf "false" zu setzen. -<br /> -<hr /> -<b>value: </b><br /> -Gültige Werte: true, false<br /> -Default-Wert: true -</td></tr> -</table> - - -</td></tr></table> + <td valign="top"> + <div id="titel">Konfiguration von MOA ID v.1.1</div> + <div id="moaid-konfiguration" /> + <p id="subtitel">Konfiguration von MOA ID v.1.1</p> + <p id="block"> Die Konfiguration von MOA ID wird mittels einer XML-basierten + Konfigurationsdatei, die dem Schema <a href="../MOA-ID-Configuration-1.1.xsd" target="_new">MOA-ID-Configuration-1.1.xsd</a> + entspricht, durchgeführt. + <p /> Der Ort der Konfigurationsdatei wird im Abschnitt <a href="id-admin_1.htm#deployment">Deployment + der Web-Applikation in Tomcat</a> beschrieben. + <p /> Die folgenden Abschnitte erläutern das Format der Konfigurationsdatei. + <a href="examples/conf/MOA-ID-Configuration.xml" target="_new">MOA-ID-Configuration.xml</a> + zeigt ein Beispiel für eine umfassende Konfigurationsdatei. </p> + <p>Enthält die Konfigurationsdatei relative Pfadangaben, werden + diese relativ zum Verzeichnis, in dem sich die MOA-ID Konfigurationsdatei + befindet, interpretiert.<br> + </p> + <div id="ConnectionParameter" /> + <p id="block"> <b>ConnectionParameter</b> <br /> + Das Element <tt>ConnectionParameter</tt> enthält Parameter, + die MOA-ID für den Aufbau von Verbindungen zu anderen Komponenten + benötigt. Dieses Element tritt mehrfach in der Konfigurationsdatei + auf und wird daher vorab detailliert beschrieben. <br /> + <br /> + Das Attribut <tt>URL</tt> enthält die URL der Komponente zu + der die Verbindung aufgebaut werden soll. Wird das Schema <tt>https</tt> + verwendet, können die Kind-Elemente <tt>AcceptedServerCertificates</tt> + und <tt>ClientKeyStore</tt> angegeben werden. Wird das Schema <tt>http</tt> + verwendet müssen keine Kind-Elemente angegeben werden bzw. + werden diese nicht ausgewertet. Andere Schemas werden nicht unterstützt. + <br /> + <br /> + Wird die Verbindung über TLS aufgebaut und erfordert der TLS-Server + eine Client-Authentisierung mittels Zertifikate, dann muss das Kind-Element + <tt>ClientKeyStore</tt> spezifiziert werden. Im Element <tt>ClientKeyStore</tt> + wird der Filename des PKCS#12-Keys (relativ zur MOA-ID Konfigurationsdatei) + angegeben. Diesem Keystore wird der private Schlüssel für + die TLS-Client-Authentisierung entnommen. Das Passwort zum Lesen + des privaten Schlüssels wird im Attribut <tt>ClientKeyStore/@password</tt> + konfiguriert.<br /> + Aufgrund der Tatsache, dass starke Verschlüsselung eine Voraussetzung + für MOA-ID darstellt, werden clientseitig nur die folgenden + Cipher Suites unterstützt:<br/> + <ul> + <li><tt>SSL_RSA_WITH_RC4_128_SHA</tt></li> + <li><tt>SSL_RSA_WITH_RC4_128_MD5</tt></li> + <li><tt>SSL_RSA_WITH_3DES_EDE_CBC_SHA</tt></li> + </ul> + Im Kind-Element <tt>AcceptedServerCertificates</tt> kann ein Verzeichnisname + (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem + die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In + diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser + Parameter wird lediglich überprüft ob ein Zertifikatspfad + zu den im Element <tt><TrustedCACertificates></tt> angegebenen + Zertifikaten erstellt werden kann. Falls dies nicht möglich ist, + kommt es zu einem Fehlerfall. + <p></p> + <div id="AuthComponent" /> + <p id="block"> <b>AuthComponent</b> <br /> + <tt>AuthComponent</tt> enthält Parameter, die nur die MOA-ID + Authentisierungskomponente betreffen. Das Element ist optional + und muss nicht verwendet werden, wenn auf dem Server keine MOA-ID + Authentisierungskomponente installiert wird. <br /> + <br /> + Das Element <tt>AuthComponent</tt> hat vier Kind-Element: + <ul> + <li><tt>BKUSelection</tt> (optional)</li> + <li><tt>SecurityLayer</tt></li> + <li><tt>MOA-SP</tt></li> + <li><tt>IdentityLinkSigners</tt></li> + </ul> + <p></p> + <div id="BKUSelection" /> + <p id="block"> <b>AuthComponent/BKUSelection</b> <br /> + Das optionale Element <tt>BKUSelection</tt> enthält Parameter + zur Nutzung eines Auswahldienstes für eine Bürgerkartenumgebung + (BKU). Wird das Element nicht angegeben, dann wird die lokale + Bürgerkartenumgebung auf <tt>http://localhost:3495/http-security-layer-request</tt> + verwendet. <br /> + <br /> + Das Attribut <tt>BKUSelectionAlternative</tt> gibt an welche + Alternative zur BKU-Auswahl verwendet werden soll. MOA-ID unterstützt + die Werte <tt>HTMLComplete</tt> (vollständige HTML-Auswahl) + und <tt>HTMLSelect</tt> (HTML-Code für Auswahl) [<a href="../bku-auswahl.20030408.pdf">"Auswahl + von Bürgerkartenumge-bungen"</a>, Arno Hollosi]. <br /> + <br /> + Das Kind-Element <tt>ConnectionParameter</tt> spezifiziert die + Verbindung zum Auswahldienst (siehe <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a>), + jedoch kann das Kind-Element <tt>ClientKeyStore</tt> nicht angegeben + werden. </p> + <div id="SecurityLayer" /> + <p id="block"> <b>AuthComponent/SecurityLayer</b> <br /> + Das Element <tt>SecurityLayer</tt> enthält Parameter + zur Nutzung des Security-Layers. <br /> + <br /> + Das Kind-Element <tt>TransformsInfo</tt> spezifiziert eine + Transformation, die für die Erstellung der Signatur des + AUTH-Blocks als Parameter in den <tt>CreateXMLSignatureRequest</tt> + des Security-Layers integriert werden muss. Mehrere unterschiedliche + Implementierungen des Security-Layer können durch die + Angabe mehrerer <tt>TransformsInfo</tt>-Elemente unterstützt + werden. <br /> + <br /> + Das Attribut <tt>TransformsInfo/@filename</tt> verweist auf + eine Datei, die das globale Element <tt>TransformsInfo</tt> + vom Typ <tt>TransformsInfo</tt> enthält. Die Angabe erfolgt + relativ zur MOA-ID Konfigurationsdatei. Das Encoding dieser + Datei muss (anders als im Beispiel) UTF-8 sein. <br /> + <br /> + <a href="examples/TransformsInfoAuthBlock.txt">Beispiel für + eine TransformsInfo-Datei</a> </p> + <div id="MOA-SP" /> + <p id="block"> <b>AuthComponent/MOA-SP</b> <br /> + Das Element <tt>MOA-SP</tt> enthält Parameter zur Nutzung + von MOA-SP. MOA-SP wird für die überprüfung + der Signatur der Personenbindung und des AUTH-Blocks verwendet. + <br /> + <br /> + Wird das Kind-Element <tt>ConnectionParameter</tt> angegeben, + dann wird MOA-SP über das Webservice angesprochen.</p> + <p id="block">Wird das Kind-Element <tt>ConnectionParameter</tt> + nicht angegeben so wird eine MOA-ID beiligende Version von + MOA-SP direkt über das Java-API angesprochen. In diesem + Fall muss das System-Property auf die verwendete Konfigurationsdatei + von MOA-SP gesetzt werden. Eine beispielhafte MOA-SP Konfigurationsdatei + ist in <tt>$MOA_ID_INST_AUTH/conf/moa-spss/SampleMOASPSSConfiguration.xml</tt> + enthalten. </p> + </div> + </div> + </div> + </div> + </div> + </div> + <div id="moaid-konfiguration" /> + <div id="ConnectionParameter" /> + <div id="AuthComponent" /> + <div id="BKUSelection" /> + <div id="SecurityLayer" /> + <div id="MOA-SP" /> + <div id="verifytransformsInfoProfile" /> + <p><b><i>Hinweis:</i></b><i> MOA-SP muss entsprechend konfiguriert + werden - siehe hierzu Abschnitt <a href="#sp-config">Konfiguration + von MOA-SP</a>. Alle Details zur Konfiguration von MOA-SP + finden sie in der Distribution von MOA-SP/SS beiligenden + Dokumentation im Abschnitt 'Konfiguration'.<br> + </i><br /> + Das Kind-Element <tt>VerifyIdentityLink/TrustProfileID</tt> + spezifiziert eine TrustProfileID, die für den <tt>VerifyXMLSignatureRequest</tt> + zur Überprüfung der Signatur der Personenbindung + verwendet werden muss. Diese TrustProfileID muss beim + verwendeten MOA-SP Modul konfiguriert sein.<br /> + <br /> + Die Kind-Elemente <tt>VerifyAuthBlock/TrustProfileID</tt> + und <tt>VerifyAuthBlock/VerifyTransformsInfoProfileID</tt> + spezifizieren eine TrustProfileID und eine ID für + ein Transformationsprofil, die für den <tt>VerifyXMLSignatureRequest</tt> + zur überprüfung der Signatur des Auth-Blocks + verwendet werden müssen. Diese TrustProfileID muss + beim verwendeten MOA-SP Modul konfiguriert sein.</p> + </div> + </div> + </div> + </div> + </div> + </div> + </div> + <div id="moaid-konfiguration" /> + <div id="ConnectionParameter" /> + <div id="AuthComponent" /> + <div id="BKUSelection" /> + <div id="SecurityLayer" /> + <div id="MOA-SP" /> + <div id="IdentityLinkSigners" /> + <p id="block"> <b>AuthComponent/IdentityLinkSigners</b> + <br /> + Dieses Element gibt an von welchen Signatoren die Signatur + des IdentityLink erstellt werden musste damit der IdentityLink + akzeptiert wird. Für jeden Signator muss der <tt>X509SubjectName</tt> + nach RFC 2253 spezifiziert werden. <br /> + <br /> + <a href="examples/IdentityLinkSigners.txt">Beispiel</a> + <br /> + <br /> + </p> + <div id="ProxyComponent" /> + <p id="block"> <b>ProxyComponent</b> <br /> + <tt>ProxyComponent</tt> enthält Parameter, die + nur die MOA-ID Proxykomponente betreffen. Das Element + ist optional und muss nicht verwendet werden, wenn auf + dem Server keine MOA-ID Proxykomponente installiert + wird. <br /> + <br /> + Das Element <tt>ProxyComponent</tt> hat nur das Kind-Element + <tt>AuthComponent</tt>, das die Verbindung zur Authentisierungs-komponente + beschreibt. <br /> + <br /> + Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente + über ein Webservice auf, dann muss das Element + <tt>ConnectionParameter</tt> spezifiziert werden. <br /> + <br /> + Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente + über das API auf, dann wird das Element <tt>ConnectionParameter</tt> + nicht spezifiziert. </p> + <div id="OnlineApplication" /> + <p id="block"> <b>OnlineApplication</b> <br /> + Für jede Online-Applikation, die über MOA-ID + authentisiert wird, gibt es ein Element <tt>OnlineApplication</tt>. + Die Parameter betreffen teils die MOA-ID Authentisierungskomponente, + teils die MOA-ID Proxykomponente, teils beide. <br /> + <br /> + Das Attribut <tt>OnlineApplication/@publicURLPrefix</tt> + entspricht dem URL-Präfix der nach außen + sichtbaren Domäne der Online-Applikation, welcher + von der MOA-ID Proxykomponente durch den URL-Präfix + der wirklichen Domäne (Attribut <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>) + ersetzt wird. Es dient als Schlüssel zum Auffinden + der Konfigurationsparameter zur Online-Applikation. + <br /> + <br /> + Das Element <tt>OnlineApplication</tt> hat optional + zwei Kind-Elemente: <tt>AuthComponent</tt> und <tt>ProxyComponent</tt>. + </p> + <div id="OnlineApplication/AuthComponent" /> + <p id="block"> <b>OnlineApplication/AuthComponent</b> + <br /> + Das Element <tt>OnlineApplication/AuthComponent</tt> + muss verwendet werden wenn auf dem Server die Authentisierungskomponente + installiert wird. Es enthält Parameter, die + das Verhalten der Authentisierungskomponente bezüglich + der Online-Applikation konfiguriert. <br /> + <br /> + Das Attribut <tt>provideZMRZahl</tt> bestimmt, ob + die ZMR-Zahl in den Anmeldedaten aufscheint. Analog + steuern die Attribute <tt>provideAUTHBlock</tt> + und <tt>provideIdentityLink</tt>, ob die Anmeldedaten + den Auth-Block bzw. die Personenbindung enthalten. + Alle Attribute sind optional und haben den Default-Wert + <tt>false</tt>. <br /> + <br /> + </p> + <div id="OnlineApplication/ProxyComponent" /> + <p id="block"> <b>OnlineApplication/ProxyComponent</b> + <br /> + Das Element <tt>OnlineApplication/ProxyComponent</tt> + muss verwendet werden wenn auf dem Server die + Proxykomponente installiert wird. <br /> + <br /> + Das optionale Attribut <tt>configFileURL</tt> + verweist auf eine Konfigurationsdatei die dem + Schema <a href="../MOA-ID-Configuration-1.1.xsd" target="_new">MOA-ID-Configuration-1.1.xsd</a> + entspricht mit Dokument-Element <tt>Configuration</tt>. + Die Angabe erfolgt relativ zur verwendeten MOA-ID + Konfigurationsdatei. Beispiel für das Element + <tt>configFileURL</tt>: "oa/SampleOAConfiguration.xml".<br /> + Defaultmäßig wird versucht die Datei + von der betreffenden OnlineApplikation unter dem + Wert: <tt>http://<realURLPrefix>/MOAConfig.xml</tt> + zu laden.<br/> + (<tt><realURLPrefix></tt> entspricht dem + Wert von <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>) + <br /> + <br /> + Das optionale Attribut <tt>sessionTimeOut</tt> + legt das Timeout einer Benutzersession in der + Proxykomponente in Sekunden fest.<br /> + Default-Wert: 3600 <br /> + <br /> + Im optionalen Attribut <tt>loginParameterResolverImpl</tt> + kann der Klassenname eines zu verwendenden <tt>LoginParameterResolver</tt> + angegeben werden, welcher die Defaultimplementierung + ersetzt. <br /> + </p> + <p id="block">Im optionelen Attribut <tt>loginParameterResolverConfiguration + </tt>kann ein Configurationsstring für die + Initialisierung der betreffenden <tt>loginParameterResolverImpl</tt> + angegeben werden.<br> + <br /> + Im optionalen Attribut <tt>connectionBuilderImpl</tt> + kann der Klassenname eines zu verwendenden ConnectionBuilder + angegeben werden, welcher die Defaultimplementierung + ersetzt. <br /> + <br /> + Im Kind-Element <tt>ConnectionParameter</tt> ist + konfiguriert, wie MOA-ID-PROXY zur Online-Applikation + verbindet. </p> + <div id="ChainingModes" /> + <p id="block"> <b>ChainingModes</b><br /> + Das Element <tt>ChainingModes</tt> definiert, + ob bei der Zertifikatspfad-überprüfung + das Kettenmodell (<tt>"chaining"</tt>) oder + das Modell nach PKIX RFC 3280 (<tt>"pkix"</tt>) + verwendet werden soll. <br /> + <br /> + Das Attribut <tt>systemDefaultMode</tt> spezifiziert + das Modell, das im Standardfall verwendet werden + soll. <br/> + <br/> + Mit dem Kind-Element <tt>TrustAnchor</tt> kann + für jeden Trust Anchor ein abweichendes + Modell spezifiziert werden. Ein Trust Anchor + ist ein Zertifikat, das in <tt>TrustedCACertificates</tt> + spezifiziert ist. Ein Trust Anchor wird durch + den Typ <tt><dsig:X509IssuerSerialType></tt> + spezifiziert. Das für diesen Trust Anchor + gültige Modell wird durch das Attribut + <tt>mode</tt> spezifiziert. <br/> + <br/> + Gültige Werte für die Attribute <tt>systemDefaultMode</tt> + und <tt>mode</tt> sind <tt>"chaining"</tt> und + <tt>"pkix"</tt>. <br/> + <br/> + <a href="examples/ChainingModes.txt">Beispiel</a> + </p> + <div id="TrustedCACertificates" /> + <p id="block"> <b>TrustedCACertificates</b><br /> + Das Element <tt>TrustedCACertificates</tt> + enthält das Verzeichnis (relativ zur + MOA-ID Konfigurationsdatei), das jene Zertifikate + enthält, die als vertrauenswürdig + betrachtet werden. Im Zuge der Überprüfung + der TLS-Serverzertifikate wird die Zertifikatspfaderstellung + an einem dieser Zertifikate beendet. </p> + <div id="GenericConfiguration" /> + <p id="block"> <b>GenericConfiguration</b><br /> + Das Element <tt>GenericConfiguration</tt> + ermöglicht das Setzen von Namen-Werte + Paaren mittels der Attribute <tt>name</tt> + und <tt>value</tt>. Die folgende Liste spezifiziert + <ul> + <li>gültige Werte für das name-Attribut, + </li> + <li>eine Beschreibung </li> + <li>gültige Werte für das value-Attribut + und (falls vorhanden)</li> + <li>den Default-Wert für das value-Attribut. + </li> + </ul> + <table border="0" cellspacing="3" cellpadding="2"> + <tr id="DirectoryCertStoreParameters.RootDir"> + <th align="left">name: DirectoryCertStoreParameters.RootDir</th> + </tr> + <tr> + <td id="info"> Gibt den Pfadnamen zu einem + Verzeichnis an, das als Zertifikatsspeicher + im Zuge der TLS-Server-Zertifikatsüberprüfung + verwendet wird.<br /> + <hr /> + <b>value: </b><br /> + Gültige Werte: Name eines gültigen + Verzeichnisses (relativ zur MOA-ID Konfigurationsdatei)<br /> + <b>Dieser Parameter muss angegeben werden.</b> + </td> + </tr> + </table> + <table border="0" cellspacing="3" cellpadding="2"> + <tr id="AuthenticationSession.TimeOut"> + <th align="left">name: AuthenticationSession.TimeOut</th> + </tr> + <tr> + <td id="info"> Gibt die Zeitspanne in + Sekunden vom Beginn der Authentisierung + bis zum Anlegen der Anmeldedaten an. + Wird die Angegebene Zeitspanne überschritten + wird der Anmeldevorgang abgebrochen. + <br /> + <hr /> + <b>value: </b><br /> + Gültige Werte: positive Ganzzahlen + <br /> + Default-Wert: 120 </td> + </tr> + </table> + <table border="0" cellspacing="3" cellpadding="2"> + <tr id="AuthenticationData.TimeOut"> + <th align="left">name: AuthenticationData.TimeOut</th> + </tr> + <tr> + <td id="info"> Gibt die Zeitspanne in + Sekunden an, für die die Anmeldedaten + in der Authentisierungskomponente zum + Abholen durch die Proxykomponente oder + eine nachfolgende Applikation bereitstehen. + Nach Ablauf dieser Zeitspanne werden + die Anmeldedaten gelöscht.<br /> + <hr /> + <b>value: </b><br /> + Gültige Werte: positive Ganzzahlen<br /> + Default-Wert: 600 </td> + </tr> + </table> + <table border="0" cellspacing="3" cellpadding="2"> + <tr id="TrustManager.RevocationChecking"> + <th align="left">name: TrustManager.RevocationChecking</th> + </tr> + <tr> + <td id="info"> Für die TLS-Server-Authentisierung + dürfen nur Server-Zertifikate verwendet + werden, die eine CRLDP-Extension enthalten + (andernfalls kann von MOA-ID keine CRL-überprüfung + durchgeführt werden). <br /> + Soll das RevocationChecking generell + ausgeschaltet werden, ist dieses Attribut + anzugeben und auf "false" zu setzen. + <br /> + <hr /> + <b>value: </b><br /> + Gültige Werte: true, false<br /> + Default-Wert: true </td> + </tr> + </table> + <table border="0" cellspacing="3" cellpadding="2"> + <tr id="TrustManager.RevocationChecking"> + <th align="left">name: FrontendServlets.EnableHTTPConnection</th> + </tr> + <tr> + <td id="info"> + <p>Standardmäßig können + die beiden Servlets "StartAuthentication" + und "SelectBKU" welche das + User-Frontend darstellen, aus Sicherheitsgründen, + nur über das Schema HTTPS aufgerufen + werden. </p> + <p>Wenn die beiden Servlets jedoch auch + Verbindungen nach dem Schema HTTP + entgegennehmen sollen, so kann mittels + dem Attribut "EnableHTTPServletConnection" + erlaubt werden.</p> + <p>Hinweis: Sicher und sinnvoll ist + das Erlauben der HTTP Verbindung nur + dann, wenn ein Vorgeschalteter Webserver + das HTTPS handling übernimmt, + und eine Verbindung zu den Servlets + nur über diesen Webserver möglich + ist.</p> + <hr /> + <b>value: </b><br /> + Gültige Werte: true, false<br /> + Default-Wert: false</td> + </tr> + </table> + <table border="0" cellspacing="3" cellpadding="2"> + <tr id="TrustManager.RevocationChecking"> + <th align="left"><a name="DataURLPrefix"></a>name: + FrontendServlets.DataURLPrefix</th> + </tr> + <tr> + <td id="info"> + <p>Standardmäßig wird als + DataURL Prefix das URL Präfix + unter dem die MOA-ID Servlets erreichbar + sind verwendet. Im Falle das sich + der MOA-ID Server hinter einer Firewall + befindet und die Requests von einem + vorgelagertem Webserver weitergereicht + werden, kann mit FrontendServlets.DataURLPrefix + ein alternatives URL Präfix angegeben + werden. In diesem Fall muss der Webserver + so konfiguriert sein, dass er Request + auf diese URLs an den MOA-ID Server + weiterleitet.</p> + <hr /> + <b>value: </b><br /> + Gültige Werte: URLs nach dem Schema + 'http://' und 'https://'<br /> + Default-Wert: kein Default-Wert<br> + Beispiel: <GenericConfiguration name="FrontendServlets.DataURLPrefix" + value="https://<your_webserver>/moa-id-auth/"/></td> + </tr> + </table> + </div> + </div> + </div> + </div> + </div> + </div> + </div> + </div> + </div> + </div> + </div> + </div> + </div> + </div> + </td> + </tr></table> <br /><br /> @@ -476,7 +680,7 @@ Die <tt><login-url></tt> ergibt sich aus dem Parameter OA des <a href="id- zusammen mit der Konfiguration von <tt>OnlineApplication/@publicURLPrefix</tt> und von <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>. <br/>Der Wert <tt>resolvedValue</tt> wird in MOA-ID-PROXY je nach Wert des Platzhalters eingesetzt. </p> -</div> +</tt></tt></div><tt><tt> <div id="BasicAuth" /> <p id="block"> <b>BasicAuth</b><br /> @@ -518,9 +722,9 @@ Die Header werden folgendermaßen in den Request an die Online-Applikation Der Wert <tt>resolvedValue</tt> wird in der Proxykomponente je nach Wert des Platzhalters eingesetzt. Etwaige Header aus dem ursprünglichen Request an die Proxykomponente, die denselben Namen haben, müssen überschrieben werden. -</p> +<p></p> </div> -</td></tr></table> +</tt></tt></td></tr></table> <div id="sp-config" /> @@ -536,26 +740,23 @@ Etwaige Header aus dem ursprünglichen Request an die Proxykomponente, die d <p id="subtitel">Konfiguration von MOA-SP</p> <div id="block"> -<p id="block"> -MOA-ID überprüft die Signaturen der Personenbindung und des AUTH-Blocks mit dem <tt>VerifyXMLSignatureRequest</tt> -von MOA-SP. Dazu muss MOA-SP wie unten beschreiben konfiguriert werden. -<br /><br /> -Ein Auszug einer beispielhaften MOA-SP Konfigurationsdatei, die diese Konfigurationsparameter enthält ist in -<tt>$MOA_ID_INST_AUTH/conf/moa-spss/ SampleMOASPSSConfiguration.xml</tt> enthalten. - -</p> - -<div id="verifytransformsInfoProfile" /> -<p id="block"> -<b>VerifyTransformsInfoProfile</b><br /> -Der Request zum überprüfen der Signatur des AUTH-Blocks verwendet ein vordefiniertes VerifyTransformsInfoProfile. -Die im Request verwendete Profil-ID wird in der MOA-ID Konfigurationsdatei -im Element <tt>/MOA-IDConfiguration/ AuthComponent/MOA-SP/VerifyAuthBlock/ VerifyTransformsInfoProfileID</tt> definiert. -Entsprechend muss am MOA-SP Server ein VerifyTransformsInfoProfile mit gleichlautender ID definiert werden. Die -Profiledefinition selbst ist in der Auslieferung von MOA-ID in <tt>$MOA_ID_INST_AUTH/conf/moa-spss/profiles/MOAIDTransformAuthBlock.xml</tt> -enthalten. Diese Profildefinition muss unverändert übernommen werden. -</p> -</div> + <p id="block"> MOA-ID überprüft die Signaturen der Personenbindung und + des AUTH-Blocks mit dem <tt>VerifyXMLSignatureRequest</tt> von + MOA-SP. Dazu muss MOA-SP wie unten beschreiben konfiguriert werden. + <br /> + <br /> + <b>VerifyTransformsInfoProfile</b><br /> + Der Request zum überprüfen der Signatur des AUTH-Blocks + verwendet ein vordefiniertes VerifyTransformsInfoProfile. Die + im Request verwendete Profil-ID wird in der MOA-ID Konfigurationsdatei + im Element <tt>/MOA-IDConfiguration/ AuthComponent/MOA-SP/VerifyAuthBlock/ + VerifyTransformsInfoProfileID</tt> definiert. Entsprechend muss + am MOA-SP Server ein VerifyTransformsInfoProfile mit gleichlautender + ID definiert werden. Die Profiledefinition selbst ist in der Auslieferung + von MOA-ID in <tt>$MOA_ID_INST_AUTH/conf/moa-spss/profiles/MOAIDTransformAuthBlock.xml</tt> + enthalten. Diese Profildefinition muss unverändert übernommen + werden. </p> + <div id="verifytransformsInfoProfile" /></div> <div id="trustProfile" /> <p id="block"> @@ -619,5 +820,5 @@ Im Falle einer fehlerhaften neuen Konfiguration wird die ursprüngliche Konf </div> -</body> +</div></div></div></body> </html>
\ No newline at end of file diff --git a/id.server/doc/moa_id/id-admin_3.htm b/id.server/doc/moa_id/id-admin_3.htm index 92d13aa6a..3a0bce74c 100644 --- a/id.server/doc/moa_id/id-admin_3.htm +++ b/id.server/doc/moa_id/id-admin_3.htm @@ -89,10 +89,24 @@ Damit Tomcat die Aufrufe, die von MS IIS mittels Jakarta mod_jk weiterleitet, en <br /><br /> </div> <div id="block"> -<b>Konfiguration von SSL</b><br /> -Die Dokumentation zum Einrichten von SSL auf dem MS IIS steht nach Installation des IIS unter http://localhost/iisHelp/ bzw. <a href="http://www.microsoft.com/windows2000/en/server/iis/default.asp" target="_new">online</a> zur Verfügung. -</div> -</td></tr></table> + <p><b>Konfiguration von SSL</b><br /> + Die Dokumentation zum Einrichten von SSL auf dem MS IIS steht nach + Installation des IIS unter http://localhost/iisHelp/ bzw. <a href="http://www.microsoft.com/windows2000/en/server/iis/default.asp" target="_new">online</a> + zur Verfügung. </p> + <p><b><a name="Prefix"></a>Konfiguration des zu verwendenden DATA-URL + Präfix</b><br> + Befindet sich der Rechner auf dem MOA-ID installiert wird hinter + einer Firewall welche zwar Zugriffe vom vorgelagerten Webserver + zulässt, nicht jedoch direkte Zugriffe (von den Rechnern von + MOA-ID Benutzern), so muss manuell in der Konfigurationsdatei von + MOA-ID ein s.g. DATA-URL Präfix vergeben werden. An dieses + URL-Präfix werden Daten von der verwendeten Bürgerkartenumgebung + gesendet. Details finden sie im Abschnitt <a href="./id-admin_2.htm#DataURLPrefix">Konfiguration</a>. + Requests an das DataURL-Präfix> müssen durch den Webserver + an https://<moa-id-rechnername>/moa-id-auth/ bzw. an http://<moa-id-rechnername>/moa-id-auth/ + weitergeleitet werden.</p> + </div> +</td></div></tr></table> <br /><br /> @@ -120,8 +134,7 @@ oder für die Proxy-Komponente <pre> JkMount /* moaworker </pre> - -<br /><br /> + <br /> <b>Konfiguration von Tomcat</b><br /> Die Konfiguration von Tomcat ist analog wie im Abschnitt über den MS IIS durchzuführen. <br /><br /> @@ -140,7 +153,11 @@ Weiters muss Jakarta mod_jk angewiesen werden, die SSL Schlüssellänge +ForwardURICompat -ForwardDirectories </pre> -</div> + <p><b>Konfiguration des zu verwendenden DATA-URL Präfix</b></p> + <p>siehe gleichnamige <a href="id-admin_3.htm#Prefix">Überschrift + </a>in Abschnitt "Konfiguration des Microsoft Internet Information + Server (optional)"</p> + </div> </td></tr></table> <br /><br /> @@ -183,5 +200,5 @@ Um das Logging in die Datenbank Log4j bekannt zu machen, muss die Log4j-Konfigur </div> -</body> +</div></div></body> </html>
\ No newline at end of file |