aboutsummaryrefslogtreecommitdiff
path: root/id.server/doc/moa_id
diff options
context:
space:
mode:
authorrudolf <rudolf@d688527b-c9ab-4aba-bd8d-4036d912da1d>2003-12-19 09:09:41 +0000
committerrudolf <rudolf@d688527b-c9ab-4aba-bd8d-4036d912da1d>2003-12-19 09:09:41 +0000
commitedc10681ce6d045d57d5dc7a544f3081f6eb41a7 (patch)
treec02ed4f975ca42a23eac2926033fbc01985840fc /id.server/doc/moa_id
parentb6e8e0a8f45c10d9a0cd77807db7107430752981 (diff)
downloadmoa-id-spss-edc10681ce6d045d57d5dc7a544f3081f6eb41a7.tar.gz
moa-id-spss-edc10681ce6d045d57d5dc7a544f3081f6eb41a7.tar.bz2
moa-id-spss-edc10681ce6d045d57d5dc7a544f3081f6eb41a7.zip
MOA-ID 1.1.1D01
git-svn-id: https://joinup.ec.europa.eu/svn/moa-idspss/trunk@82 d688527b-c9ab-4aba-bd8d-4036d912da1d
Diffstat (limited to 'id.server/doc/moa_id')
-rw-r--r--id.server/doc/moa_id/examples/conf/MOA-ID-Configuration.xml73
-rw-r--r--id.server/doc/moa_id/examples/moa-id-env.sh.txt15
-rw-r--r--id.server/doc/moa_id/examples/startTomcat.bat.txt26
-rw-r--r--id.server/doc/moa_id/faqs.htm194
-rw-r--r--id.server/doc/moa_id/id-admin.htm125
-rw-r--r--id.server/doc/moa_id/id-admin_1.htm275
-rw-r--r--id.server/doc/moa_id/id-admin_2.htm809
-rw-r--r--id.server/doc/moa_id/id-admin_3.htm33
8 files changed, 1053 insertions, 497 deletions
diff --git a/id.server/doc/moa_id/examples/conf/MOA-ID-Configuration.xml b/id.server/doc/moa_id/examples/conf/MOA-ID-Configuration.xml
index 6ce00228c..26898f754 100644
--- a/id.server/doc/moa_id/examples/conf/MOA-ID-Configuration.xml
+++ b/id.server/doc/moa_id/examples/conf/MOA-ID-Configuration.xml
@@ -1,54 +1,83 @@
<?xml version="1.0" encoding="UTF-8"?>
-<!-- edited with XMLSPY v5 rel. 3 U (http://www.xmlspy.com) by Stephan G (Comp) -->
<MOA-IDConfiguration xmlns="http://www.buergerkarte.at/namespaces/moaconfig#" xmlns:dsig="http://www.w3.org/2000/09/xmldsig#" xmlns:sl10="http://www.buergerkarte.at/namespaces/securitylayer/20020225#" xmlns:sl11="http://www.buergerkarte.at/namespaces/securitylayer/20020831#">
+ <!-- fuer MOA-ID-AUTH -->
<AuthComponent>
- <BKUSelection>
- <ConnectionParameter URL="http://10.16.46.108:18080/oa/getBKUSelectTag.jsp"/>
+ <!-- URL und akzeptierte TLS-Server-Zertifikate des verwendeten BKU-Auswahl Service -->
+ <BKUSelection BKUSelectionAlternative="HTMLComplete">
+ <ConnectionParameter URL="http://auswahl.buergerkarte.at/auswahl">
+ <!-- <AcceptedServerCertificates>certs/server-certs</AcceptedServerCertificates> -->
+ </ConnectionParameter>
</BKUSelection>
+ <!-- Transformationen fuer die Anzeige des AUTH-Block im Secure Viewer -->
<SecurityLayer>
- <TransformsInfo filename="file:/home/moa/id/jakarta-tomcat-4.1.18/conf/moa-id/Transforms/TransformsInfosHTML.xml"/>
+ <TransformsInfo filename="transforms/TransformsInfoAuthBlock.xml"/>
</SecurityLayer>
<MOA-SP>
- <ConnectionParameter URL="https://10.16.46.108:8443/moa-spss/services/SignatureVerification">
- <AcceptedServerCertificates>file:/home/moa/id/jakarta-tomcat-4.1.18/conf/moa-id/certs/server-certs</AcceptedServerCertificates>
- <ClientKeyStore password="Keystore Pass">file:/c:/</ClientKeyStore>
- </ConnectionParameter>
+ <!-- URL und akzeptierte TLS-Server-Zertifikate des MOA-SP Web Service, falls MOA-SP ueber Web Service angesprochen wird. Wenn MOA-SP direkt ueber API aufgerufen werden soll, so wird das Element auskommentiert
+ <ConnectionParameter URL="http://localhost:8080/moa-spss/services/SignatureVerification"> -->
+ <!-- <AcceptedServerCertificates>certs/server-certs</AcceptedServerCertificates> -->
+ <!-- <ClientKeyStore password="Keystore Pass">file_to_clientkeystore</ClientKeyStore> -->
+ <!-- </ConnectionParameter> -->
+ <!-- TrustProfile fuer den IdentityLink der Buergerkarte; muss in MOA-SP konfiguriert sein -->
<VerifyIdentityLink>
- <TrustProfileID>TrustProfile1</TrustProfileID>
+ <TrustProfileID>MOAIDBuergerkartePersonenbindung</TrustProfileID>
</VerifyIdentityLink>
<VerifyAuthBlock>
- <TrustProfileID>TrustProfile1</TrustProfileID>
- <VerifyTransformsInfoProfileID>TransformsInfoProfile1MOAID</VerifyTransformsInfoProfileID>
+ <!-- TrustProfile fuer die Signatur des AUTH-Blocks der Buergerkarte; muss in MOA-SP konfiguriert sein -->
+ <TrustProfileID>MOAIDBuergerkarteAuthentisierungsDaten</TrustProfileID>
+ <!-- VerifyTransformsInfoProfile mit den Transformationen fuer die Anzeige der Anmeldedaten im Secure Viewer; muss in MOA-SP konfiguriert sein -->
+ <VerifyTransformsInfoProfileID>MOAIDTransformAuthBlock</VerifyTransformsInfoProfileID>
</VerifyAuthBlock>
</MOA-SP>
+ <!-- Gueltige Signatoren des IdentityLink, der von der Buergerkarte gelesen wird -->
<IdentityLinkSigners>
- <X509SubjectName>CN=Test Signaturdienst Personenbindung,OU=Zentrales Melderegister,O=Bundesministerium f\C3\BCr Inneres,C=AT</X509SubjectName>
+ <X509SubjectName>CN=zmr,OU=BMI-IV-2,O=BMI,C=AT</X509SubjectName>
</IdentityLinkSigners>
</AuthComponent>
+ <!-- fuer MOA-ID-PROXY -->
<ProxyComponent>
+ <!-- URL und akzeptierte TLS-Server-Zertifikate des MOA-ID-AUTH Web Service -->
<AuthComponent>
- <ConnectionParameter URL="http://moatestlinux:18080/moa-id-auth/services/GetAuthenticationData">
- <AcceptedServerCertificates>http://www.altova.com</AcceptedServerCertificates>
- <ClientKeyStore password="String">http://www.altova.com</ClientKeyStore>
+ <ConnectionParameter URL="https://localhost:8443/moa-id-auth/services/GetAuthenticationData">
+ <!-- <AcceptedServerCertificates>certs/server-certs</AcceptedServerCertificates> -->
+ <!-- <ClientKeyStore password="Keystore Pass">file_to_clientkeystore</ClientKeyStore> -->
</ConnectionParameter>
</AuthComponent>
</ProxyComponent>
- <OnlineApplication publicURLPrefix="https://10.16.126.28:9443/moa-id-proxy/">
+ <!-- Eintrag fuer jede Online-Applikation -->
+ <OnlineApplication publicURLPrefix="https://localhost:8443/">
+ <!-- fuer MOA-ID-AUTH -->
<AuthComponent provideZMRZahl="false" provideAUTHBlock="false" provideIdentityLink="false"/>
- <ProxyComponent configFileURL="file:/home/moa/id/jakarta-tomcat-4.1.18/conf/moa-id/oa/OAConf.xml" sessionTimeOut="600">
- <ConnectionParameter URL="https://moatestlinux:18443/oa/">
- <AcceptedServerCertificates>file:/home/moa/id/jakarta-tomcat-4.1.18/conf/moa-id/oa/server-certs/tomcat</AcceptedServerCertificates>
- <ClientKeyStore password="ClientKeystoreOAPAss">URL:toClientKeystoreOA</ClientKeyStore>
+ <!-- fuer MOA-ID-PROXY -->
+ <ProxyComponent configFileURL="oa/SampleOAConfiguration.xml" sessionTimeOut="600">
+ <!-- <ProxyComponent configFileURL="oa/SampleOAConfiguration.xml" sessionTimeOut="600" loginParameterResolverImpl="at.gv.egovernment.moa.id.proxy.DefaultLoginParameterResolver" loginParameterResolverConfiguration="" connectionBuilderImpl="at.gv.egovernment.moa.id.proxy.DefaultConnectionBuilder"> -->
+ <!-- URL und akzeptierte TLS-Server-Zertifikate der Online-Applikation -->
+ <ConnectionParameter URL="http://localhost:8080/oa/">
+ <!-- <AcceptedServerCertificates>certs/server-certs</AcceptedServerCertificates> -->
+ <!-- <ClientKeyStore password="Keystore Pass">file_to_clientkeystore</ClientKeyStore> -->
</ConnectionParameter>
</ProxyComponent>
</OnlineApplication>
+ <!-- ChainingModes fuer die Zertifikatspfadueberpruefung der TLS-Zertifikate -->
<ChainingModes systemDefaultMode="pkix">
<TrustAnchor mode="chaining">
<dsig:X509IssuerName>CN=A-Trust-nQual-0,OU=A-Trust-nQual-0,O=A-Trust,C=AT</dsig:X509IssuerName>
<dsig:X509SerialNumber>536</dsig:X509SerialNumber>
</TrustAnchor>
</ChainingModes>
- <GenericConfiguration name="DirectoryCertStoreParameters.RootDir" value="file:/home/moa/id/jakarta-tomcat-4.1.18/conf/moa-id/certs/cert-store-root"/>
- <GenericConfiguration name="AuthenticationData.TimeOut" value="120"/>
+ <!-- fuer MOA-ID-AUTH: Rootzertifikate des Servers MOA-SP, falls ueber HTTPS angesprochen -->
+ <!-- fuer MOA-ID-PROXY: Rootzertifikate des Servers MOA-ID-AUTH, falls ueber HTTPS angesprochen,
+ und aller Online-Applikationen, die ueber HTTPS angesprochen werden -->
+ <TrustedCACertificates>certs/ca-certs</TrustedCACertificates>
+
+ <!-- Cache-Verzeichnis fuer-Zertifikate -->
+ <GenericConfiguration name="DirectoryCertStoreParameters.RootDir" value="certs/certstore"/>
+ <!-- Time-Out fuer die Anmeldung von Beginn bis zum Anlegen der Anmeldedaten, in Sekunden -->
<GenericConfiguration name="AuthenticationSession.TimeOut" value="600"/>
+ <!-- Time-Out fuer die Anmeldung vom Anlegen bis zum Abholen der Anmeldedaten, in Sekunden -->
+ <GenericConfiguration name="AuthenticationData.TimeOut" value="120"/>
+ <!-- HTTP Verbindung auf Frontend Servlets zulassen / verbieten (falls Webserver vorgeschaltet wird) -->
+ <!-- <GenericConfiguration name="FrontendServlets.EnableHTTPConnection" value="_true"/> -->
+ <!-- Angabe eines alternativen DataURLPrefix Werts (bei vorgelagertem Webserver) -->
+ <!-- <GenericConfiguration name="FrontendServlets.DataURLPrefix" value="http://<servername>/moa-id-auth/"/> -->
</MOA-IDConfiguration>
diff --git a/id.server/doc/moa_id/examples/moa-id-env.sh.txt b/id.server/doc/moa_id/examples/moa-id-env.sh.txt
new file mode 100644
index 000000000..1ccca10c1
--- /dev/null
+++ b/id.server/doc/moa_id/examples/moa-id-env.sh.txt
@@ -0,0 +1,15 @@
+rem insert Tomcat 4.1.x home directory (no trailing path separator)
+set CATALINA_HOME=<Tomcat 4.1.x home directory>
+
+CONFIG_OPT_SPSS=-Dmoa.spss.server.configuration=$CATALINA_HOME/conf/moa-spss/SampleMOASPSSConfiguration.xml
+CONFIG_OPT_ID=-Dmoa.id.configuration=$CATALINA_HOME/conf/moa-id/SampleMOAIDConfiguration.xml
+
+
+LOGGING_OPT=-Dlog4j.configuration=file:$CATALINA_HOME/conf/moa-id/log4j.properties
+# TRUST_STORE_OPT=-Djavax.net.ssl.trustStore=truststore.jks
+# TRUST_STORE_PASS_OPT=-Djavax.net.ssl.trustStorePassword=changeit
+# TRUST_STORE_TYPE_OPT=-Djavax.net.ssl.trustStoreType=jks
+
+export CATALINA_OPTS="$CONFIG_OPT_SPSS $CONFIG_OPT_ID $LOGGING_OPT $TRUST_STORE_OPT $TRUST_STORE_PASS_OPT $TRUST_STORE_TYPE_OPT"
+echo CATALINA_OPTS=$CATALINA_OPTS
+
diff --git a/id.server/doc/moa_id/examples/startTomcat.bat.txt b/id.server/doc/moa_id/examples/startTomcat.bat.txt
new file mode 100644
index 000000000..29588120c
--- /dev/null
+++ b/id.server/doc/moa_id/examples/startTomcat.bat.txt
@@ -0,0 +1,26 @@
+rem ----------------------------------------------------------------------------------------------
+rem Modify these entries according to your needs
+
+rem JDK home directory (no trailing path separator)
+set JAVA_HOME=<jdk home directory>
+
+rem Tomcat 4.1.x home directory (no trailing path separator)
+set CATALINA_HOME=<Tomcat 4.1.x home directory>
+
+rem ----------------------------------------------------------------------------------------------
+
+set CONFIG_OPT_SPSS=-Dmoa.spss.server.configuration=%CATALINA_HOME%/conf/moa-spss/SampleMOASPSSConfiguration.xml
+set CONFIG_OPT_ID=-Dmoa.id.configuration=%CATALINA_HOME%/conf/moa-id/SampleMOAIDConfiguration.xml
+set LOGGING_OPT=-Dlog4j.configuration=file:%CATALINA_HOME%/conf/moa-id/log4j.properties
+
+set PARAMS_MOA=%CONFIG_OPT_SPSS% %CONFIG_OPT_ID% %LOGGING_OPT%
+
+rem set PARAM_TRUST_STORE=-Djavax.net.ssl.trustStore=truststore.jks
+rem set PARAM_TRUST_STORE_PASS=-Djavax.net.ssl.trustStorePassword=changeit
+rem set PARAM_TRUST_STORE_TYPE=-Djavax.net.ssl.trustStoreType=jks
+rem set PARAMS_SSL=%PARAM_TRUST_STORE% %PARAM_TRUST_STORE_PASS% %PARAM_TRUST_STORE_TYPE%
+
+set CATALINA_OPTS=%PARAMS_MOA% %PARAMS_SSL%
+
+cd %CATALINA_HOME%
+bin\catalina.bat start \ No newline at end of file
diff --git a/id.server/doc/moa_id/faqs.htm b/id.server/doc/moa_id/faqs.htm
index ed386e11e..bad7a90e3 100644
--- a/id.server/doc/moa_id/faqs.htm
+++ b/id.server/doc/moa_id/faqs.htm
@@ -48,57 +48,165 @@ Projekt <span style="font-size:48pt; ">moa</span>&#160;
<br />
<!-- First Section with Navigation -->
-<table width="650" border="0" cellpadding="10" cellspacing="0">
-<tr>
-<td width="170" valign="top">
-<div style="font-weight:bold; margin-top:12px">FAQs</div><br />
-<div id="klein"><a href="moa.htm"><img src="../moa_images/west.gif" border="0" width="13" height="14" />
- <b> Zurück</b></a></div>
-<br />
-<!-- div id="slogan">
+ <table width="650" border="0" cellpadding="10" cellspacing="0">
+ <tr>
+ <td width="170" valign="top">
+ <div style="font-weight:bold; margin-top:12px">FAQs</div>
+ <br />
+ <div id="klein"><a href="moa.htm"><img src="../moa_images/west.gif" border="0" width="13" height="14" />
+ <b> Zurück</b></a></div>
+ <br />
+ <!-- div id="slogan">
MOA ist eine Entwicklung des Bundesrechenzentrums BRZ in Zusammenarbeit mit A-Trust und dem Institut für angewandte Informations- und Kom-munikationstechnik (IAIK) der Universität Graz
</div -->
-</td>
-
-<td valign="top">
-<div id="titel">FAQs - Häufig gestellte Fragen </div>
-
-<p id="subtitel">Lokal installiertes MOA-ID und Microsoft Internet Explorer</p>
-<p id="block">
-Aufgrund eines Fehlers in Microsofts Internet Explorer kann es beim Testen eines lokal installierten Tomcat mit den MOA-ID-Modulen zu Fehlern kommen, da ein Redirect von der Auth-Komponente zur Proxy-Komponente nicht ausgeführt wird.
-</p>
-<p id="block">
-Als Workaround empfiehlt es sich, zum lokalen Testen einen alternativen Browser wie <a href="http://www.opera.com/">Opera</a>, <a href="http://www.mozilla.org/">Mozilla</a> oder <a href="http://www.netscape.org/">Netscape</a> zu verwenden, da diese Probleme dort nicht auftreten.
-</p>
-<br />
-<p id="subtitel">Lokale Proxy-Komponente und HTTPS</p>
-<p id="block">
-Wenn die Proxy-Komponente lokal l&auml;uft und per TLS/SSL aufgerufen wird, kommt es zu einer Fehlermeldung.
-</p>
-<p id="block">
-Workaround: Wenn in der Konfiguration statt 'localhost' der eigene Rechnername verwendet wird, funktioniert die Proxy-Komponente wie gewohnt. <br />
-Zum Herausfinden des Rechnernamens wechselt man unter Windows auf die Kommandozeile und kann mittels 'ipconfig /all' den Rechnernamen herausfinden.
-Unix/Linux-Anwender sehen bspw. mittels 'cat' in der Datei /etc/hosts nach, der Texteintrag hinter der eigenen IP-Adresse spezifiziert den Rechnernamen.
-</p>
-<br />
-<p id="subtitel">Tomcat und starke Verschl&uuml;sselung (&gt;100 Bit)</p>
-<p id="block">
-Serverseitig kann keine starke Verschl&uuml;sselung (seitens Tomcat) erzwungen werden.
-</p>
-<p id="block">
-Als Workaround empfiehlt es sich, einen Web-Server wie Apache oder den Microsoft Internet-Information-Server f&uuml;r das SSL-Handling vorzuschalten und dort in der jeweiligen Konfiguration starke Verschl&uuml;sselung zu erzwingen.
-</p>
-<br />
-</td></tr></table>
+ </td>
+ <td valign="top">
+ <div id="titel">FAQs - Häufig gestellte Fragen </div>
+ <p id="block"><b><a href="#frage1">Frage</a><a href="#frage4">&nbsp;</a><a href="#frage1">1</a></b>
+ Mit dem Internet Explorer kommt es bei einer Anmeldung an der lokal
+ installierten Version von MOA-ID zu Fehlern beim Redirect. Warum?</p>
+ <p id="block"> <b><a href="#frage2">Frage</a><a href="#frage4">&nbsp;</a><a href="#frage2">2</a></b>
+ Wenn die Proxy-Komponente lokal l&auml;uft und per TLS/SSL aufgerufen
+ wird, kommt es zu einer Fehlermeldung. Wie kann dies verhindert werden?</p>
+ <p id="block"><b><a href="#frage3">Frage</a><a href="#frage4">&nbsp;</a><a href="#frage3">3</a></b>
+ Es soll serverseitig lediglich starke TLS/SSL Verschl&uuml;sselung (&gt;100
+ Bit) unterst&uuml;tzt werden. Wie kann dies erzwungen werden?</p>
+ <p id="block"><b><a href="#frage4">Frage&nbsp;4 </a></b>Beim Starten von
+ MOA ID bzw. MOA SPSS tritt folgende Exception auf: <tt>java.lang.ClassCastException:
+ iaik.asn1.structures.Name</tt>. Was kann der Fehler sein?<b><a href="#frage3"></a></b></p>
+ <p id="block"><b><a href="#frage5">Frage&nbsp;5</a></b> Ich m&ouml;chte
+ MOA in einer Umgebung betreiben, die einen Internet-Zugang nur &uuml;ber
+ einen Proxy erlaubt. Funktioniert das?</p>
+ <p id="block"><b><a href="#frage6">Frage&nbsp;6</a></b> Tomcat: W&auml;rend
+ des Betriebs kommt es zu org.apache.commons.logging.LogConfigurationException.
+ Wie kann dies verhindert werden?</p>
+ <hr>
+ <p id="subtitel"></p>
+ <p id="subtitel"><a name="frage1"></a>Frage 1</p>
+ <p id="block"><b>Q: </b>Mit dem Internet Explorer kommt es bei einer Anmeldung
+ an der lokal installierten Version von MOA-ID zu Fehlern beim Redirect.
+ Warum?</p>
+ <p id="block"><b>A:</b> Aufgrund eines Fehlers in Microsofts Internet
+ Explorer schl&auml;gt der (lokale) Redirect auf dem lokal installierten
+ Tomcat fehl.</p>
+ <p id="block"> Als Workaround empfiehlt es sich, zum lokalen Testen einen
+ alternativen Browser wie <a href="http://www.opera.com/">Opera</a>,
+ <a href="http://www.mozilla.org/">Mozilla</a> oder <a href="http://www.netscape.org/">Netscape</a>
+ zu verwenden, da diese Probleme dort nicht auftreten. Von einem anderen
+ Rechner aus kann jedoch die Anmeldung an MOA-ID auch mit dem Internet
+ Explorer erfolgen. </p>
+ <hr />
+ <p id="subtitel"><a name="frage2"></a>Frage 2</p>
+ <p id="block"> <b>Q: </b>Wenn die Proxy-Komponente lokal l&auml;uft und
+ per TLS/SSL aufgerufen wird, kommt es zu einer Fehlermeldung. Wie kann
+ dies verhindert werden?</p>
+ <p id="block"> <b>A:</b> Wenn in der Konfiguration statt 'localhost' der
+ eigene Rechnername verwendet wird, funktioniert die Proxy-Komponente
+ wie gewohnt.<br>
+ <br />
+ Zum Herausfinden des Rechnernamens wechselt man unter Windows auf die
+ Kommandozeile und kann mittels 'ipconfig /all' den Rechnernamen herausfinden.
+ Unix/Linux-Anwender sehen bspw. mittels 'cat' in der Datei /etc/hosts
+ nach, der Texteintrag hinter der eigenen IP-Adresse spezifiziert den
+ Rechnernamen. </p>
+ <hr />
+ <p id="subtitel"><a name="frage3"></a>Frage 3</p>
+ <p id="block"> <b>Q: </b>Es soll serverseitig lediglich starke TLS/SSL
+ Verschl&uuml;sselung (&gt;100 Bit) unterst&uuml;tzt werden. Wie kann
+ dies erzwungen werden?</p>
+ <p id="block"> <b>A: </b>Tomcat bietet (bis dato) keine einfache M&ouml;glichkeit
+ die serverseitig verwendeten TLS/SSL Verschl&uuml;sselungsalgorithmen
+ zu konfigurieren. Daher empfiehlt es sich in diesem Fall, einen Web-Server
+ wie Apache oder den Microsoft Internet-Information-Server f&uuml;r das
+ SSL-Handling vorzuschalten und dort in der jeweiligen Konfiguration
+ starke Verschl&uuml;sselung zu erzwingen.<b> </b></p>
+ <hr />
+ <b>
+ <p id="subtitel"><a name="frage4"></a>Frage 4</p>
+ Q: </b>Beim Starten von MOA SPSS tritt folgende Exception auf: <tt>java.lang.ClassCastException:
+ iaik.asn1.structures.Name</tt>. Was kann der Fehler sein?
+ <p id="block"> <b>A:</b> Auf Grund einer mangelhaften Implementierung
+ in einigen Versionen des JDK 1.3.1 kann es beim Betrieb von MOA zu folgendem
+ Problem kommen: Sun macht in der Implementierung von PKCS7.getCertificate()
+ einen Downcast vom Interface java.security.Principal auf die eigene
+ Implementierung, was zu einer ClassCastException führt, wenn der JCE-Provider
+ von Sun nicht an erster Stelle in der List der Security-Provider installiert
+ ist. MOA geht nun aber so vor, dass der JCE-Provider des IAIK an die
+ erste Stelle installiert wird, wenn er zum Zeitpunkt der Konfiguration
+ noch nicht installiert war. Wird dann von irgendeinem ClassLoader der
+ jar-Verifier ben&uuml;tzt, wird PKCS7.getCertificate() verwendet, und
+ es kommt zu einer ClassCastException. </p>
+ <p id="block"> Wird MOA über die API-Schnittstelle verwendet, ist ein
+ Workaround die manuelle Installation des IAIK-JCE-Providers nach dem
+ Sun JCE-Provider (etwa an die letzte Stelle), bevor die MOA-Konfiguration
+ aufgerufen wird. Bei Verwendung der Webservices ist die Möglichkeit
+ der statischen Konfiguration der JCE-Provider mittels Angabe in der
+ Datei $JAVA_HOME/jre/lib/security/java.security der einzige bekannte
+ Workaround. Hierzu müssen die Einträge
+ <pre>
+ security.provider.1=sun.security.provider.Sun
+ security.provider.2=com.sun.rsajca.Provider
+</pre>
+ durch folgenden Eintrag ergänzt werden:
+ <pre>
+ security.provider.3=iaik.security.provider.IAIK
+</pre>
+ <p></p>
+
+ <hr />
+ <p id="subtitel"><a name="frage5"></a>Frage 5</p>
+ <div id="block">
+ <p id="block"><b>Q: </b>Ich m&ouml;chte MOA in einer Umgebung betreiben,
+ die einen Internet-Zugang nur &uuml;ber einen Proxy erlaubt. Funktioniert
+ das?</p>
+ <p id="block"> <b>A:</b> Ja, zumindest f&uuml;r Zugriffe &uuml;ber HTTP.
+ Sie m&uuml;ssen dazu die nachfolgenden JAVA System-Properties setzen:</p>
+ <blockquote>
+ <p><tt>http.proxyHost=&lt;proxyhost&gt;<br>
+ http.proxyPort=&lt;proxyport&gt;<br>
+ http.nonProxyHosts=&quot;&lt;exceptionhosts&gt;&quot;</tt></p>
+ </blockquote>
+ <p><tt>&lt;proxyhost&gt;</tt> gibt den Namen oder die IP-Adresse des
+ Proxies an.</p>
+ <p><tt>&lt;proxyport&gt;</tt> gibt den Port des Proxies an.</p>
+ <p><tt>&lt;exceptionhosts&gt;</tt> enth&auml;lt eine Liste von Rechnernamen,
+ die nicht &uuml;ber den Proxy laufen sollen. Jedenfalls m&uuml;ssen
+ sie hier <tt>localhost</tt> angeben. Einzelne Namen sind durch eine
+ Pipe (<tt>|</tt>) zu trennen. Bitte beachten Sie, dass IP-Addressen
+ nicht angegeben werden d&uuml;rfen, sowie die verpflichtend zu verwendenen
+ Anf&uuml;hrungszeichen.</p>
+ </div>
+ <hr />
+ <p id="subtitel"><a name="frage6">Frage 6</a></p>
+ <p><b>Q:</b> Tomcat: W&auml;rend des Betriebs kommt es zu org.apache.commons.logging.LogConfigurationException.
+ Wie kann dies verhindert werden?</p>
+ <p>org.apache.commons.logging.LogConfigurationException: org.apache.commons.logging.LogConfigurationException:
+ org.apache.commons.logging.LogConfigurationException<br>
+ : Class org.apache.commons.logging.impl.Jdk14Logger does not implement
+ Log</p>
+ <p><b>A:</b> $CATALINA_HOME\server\lib\tomcat-util.jar muss gegen eine
+ gepatchte Version ausgetauscht werden, da ein BUG in der Originalversion
+ von tomcat 4.1.27. Diese gepatchte Version ist in der MOA-ID Distribution
+ im Verzeichnis $MOA_ID_INST_AUTH\tomcat\tomcat-util-4.1.27-patched\
+ zu finden.</p>
+ <p>&nbsp; </p>
+ </td>
+ </tr>
+ <tr>
+ <td width="170" valign="top">&nbsp;</td>
+ <td valign="top">&nbsp;</td>
+ </tr>
+ </table>
<table width="650" border="0" cellpadding="10" cellspacing="0">
<tr>
-<td width="170" valign="top"><br /></td>
-<td valign="top">
-<hr />
+ <td width="150" valign="top"><br />
+ </td>
+ <td valign="top" width="460">
+ <hr />
<div style="font-size:8pt; color:#909090">&copy; 2003 <!-- Development Center, BRZ GmbH --></div>
</td></tr></table>
<br />
diff --git a/id.server/doc/moa_id/id-admin.htm b/id.server/doc/moa_id/id-admin.htm
index 718f0cd03..fb545d560 100644
--- a/id.server/doc/moa_id/id-admin.htm
+++ b/id.server/doc/moa_id/id-admin.htm
@@ -111,10 +111,10 @@ Die Basis-Installation stellt einerseits die minimalen Anforderungen f&uuml;r de
Folgende Software ist Voraussetzung f&uuml;r die Basis-Installation:
</div>
<ul>
-<li>JDK 1.3.1 oder JDK 1.4.1</li>
-<li>Tomcat 4.1.18 </li>
-<li>MOA-ID-AUTH 1.0 </li>
-<li>MOA SP/SS 1.0 (entweder als WebService oder direkt als interne Bibliothek)</li>
+<li>JDK 1.3.1, JDK 1.4.1 oder JDK 1.4.2</li>
+<li>Tomcat 4.1.18 oder Tomcat 4.1.27 (*)</li>
+<li>MOA-ID-AUTH 1.1 </li>
+<li>MOA SP/SS 1.1 oder neuer (entweder als WebService oder direkt als interne Bibliothek)</li>
</ul>
<div id="block">
Um m&ouml;glichen Versionskonflikten aus dem Weg zu gehen sollten stets die neuesten Versionen von MOA-ID als auch von MOA-SP/SS verwendet werden. <br/>
@@ -122,7 +122,7 @@ In diesem Betriebs-Szenario wird MOA-ID-AUTH in Tomcat deployt. Tomcat fungiert
<br/><br/>
Die Webapplikation verwendet Log4j als Logging Toolkit.
</div>
-</td></tr></table>
+</table>
<br />
<div id="szenarien2" />
@@ -144,7 +144,7 @@ MOA-ID-AUTH und MOA-ID-PROXY k&ouml;nnen in verschiedenen Konstellationen zum Ei
<li>auf ein und demselben Rechner in verschiedenen Java Servlet Containern</li>
<li>auf ein und demselben Rechner in ein und demselben Java Servlet Container</li>
</ul>
-<br/><br /><br />
+ <br />
Ausgehend von der Basis-Installation k&ouml;nnen die optionalen Konfigurationen, die in den nachfolgenden Abschnitten beschrieben werden, unabh&auml;ngig und in beliebiger Kombination aufgesetzt werden.
</div>
</td></tr></table>
@@ -176,7 +176,7 @@ Den MOA ID Webapplikationen kann jeweils optional ein Webserver vorgeschaltet se
<br /><br />
Mittels mod_jk werden die Webservice-Aufrufe, die im vorgeschalteten Webserver eintreffen, an Tomcat weiter geleitet, bzw. die Antwort von Tomcat wieder an den Webserver zur&uuml;ck &uuml;bermittelt.
</div>
-</td></tr></table>
+</div></div></td></tr></table>
<br />
<div id="szenarien4" />
@@ -229,41 +229,84 @@ Die Versionsangaben beziehen sich auf die Versionen, mit denen die MOA ID Webapp
</div>
<br /><br />
<div id="block">
-<table border="1" width="100%" cellpadding="2" cellspacing="0">
-<tr>
-<th>Komponente</th><th>Version</th>
-</tr><tr>
-<td><a href="http://java.sun.com/j2se/1.3/download.html">JDK</a> </td><td>1.3.1_07 &#160; </td>
-</tr><tr>
-<td><a href="http://java.sun.com/j2se/1.4.1/download.html">JDK</a> </td><td>1.4.1&#160; </td>
-</tr><tr>
-<td><a href="http://jakarta.apache.org/tomcat/tomcat-4.1-doc/">Tomcat </a> </td><td>4.1.18&#160; </td>
-</tr><tr>
-<td><a href="http://cio.gv.at/">MOA-ID-AUTH </a> </td><td>1.0&#160; </td>
-</tr><tr>
-<td><a href="http://cio.gv.at/">MOA-ID-PROXY </a> </td><td>1.0&#160; </td>
-</tr><tr>
-<td><a href="http://cio.gv.at/">MOA-SPSS </a> </td><td>1.0&#160; </td>
-</tr><tr>
-<td><a href="http://httpd.apache.org/docs-2.0/">Apache Webserver</a> </td><td>1.3.23 &#160; </td>
-</tr><tr>
-<td><a href="http://www.microsoft.com/windows2000/en/server/iis/default.asp">Microsoft Internet Information Server </a> </td><td>5.0 &#160; </td>
-</tr><tr>
-<td><a href="http://httpd.apache.org/docs-2.0/ssl/">mod_SSL </a> </td><td>(*)&#160; </td>
-</tr><tr>
-<td><a href="http://jakarta.apache.org/tomcat/tomcat-4.1-doc/jk2/">Jakarta mod_jk </a> </td><td>1.2.2&#160; </td>
-</tr><tr>
-<td><a href="http://jakarta.apache.org/log4j/docs/index.html">Jakarta Log4j </a> </td><td>1.2.7&#160; </td>
-</tr><tr>
-<td><a href="http://techdocs.postgresql.org/installguides.php">PostgreSQL </a> </td><td>7.3&#160; </td>
-</tr>
-</table>
+ <table border="1" width="100%" cellpadding="2" cellspacing="0">
+ <tr>
+ <th width="59%">Komponente</th>
+ <th width="41%">Getestete Version</th>
+ </tr>
+ <tr>
+ <td width="59%"><b>JDK (SDK)</b> </td>
+ <td width="41%"><a href="http://java.sun.com/j2se/1.3/download.html">1.3.1</a>&#160;(min.
+ 1.3.1_07) bzw. <a href="http://java.sun.com/j2se/1.4.1/download.html"><br>
+ 1.4.1</a> bzw. <a href="http://java.sun.com/j2se/1.4.2/download.html"><br>
+ 1.4.2</a></td>
+ </tr>
+ <tr>
+ <td width="59%" height="21"><b>Tomcat</b></td>
+ <td width="41%" height="21">
+ <p><a href="http://archive.apache.org/dist/jakarta/tomcat-4/archive/v4.1.18/bin/jakarta-tomcat-4.1.18.zip">4.1.18</a>
+ bzw.<br>
+ <a href="http://archive.apache.org/dist/jakarta/tomcat-4/tomcat-4.1.27.zip ">4.1.27
+ </a>+ Patch (*)</p>
+ </td>
+ </tr>
+ <tr>
+ <td width="59%"><b>MOA-ID-AUTH </b></td>
+ <td width="41%"><a href="http://www.cio.gv.at/onlineservices/basicmodules/moa/implementation/">1.1</a></td>
+ </tr>
+ <tr>
+ <td width="59%"><b>MOA-ID-PROXY </b></td>
+ <td width="41%"><a href="http://www.cio.gv.at/onlineservices/basicmodules/moa/implementation/">1.1</a>&#160;
+ </td>
+ </tr>
+ <tr>
+ <td width="59%"><b>MOA-SPSS </b></td>
+ <td width="41%"><a href="http://www.cio.gv.at/onlineservices/basicmodules/moa/implementation/">1.2</a>&#160;</td>
+ </tr>
+ <tr>
+ <td width="59%"><b>Apache Webserver </b></td>
+ <td width="41%"><a href="http://httpd.apache.org/">1.3.23</a>
+ bzw.<br>
+ <a href="http://httpd.apache.org/">2.0.45</a></td>
+ </tr>
+ <tr>
+ <td width="59%"><b>Microsoft Internet Information Server
+ </b></td>
+ <td width="41%"><a href="http://www.microsoft.com/windows2000/en/server/iis/default.asp">5.0</a>
+ &#160; </td>
+ </tr>
+ <tr>
+ <td width="59%"><b>mod_SSL </b></td>
+ <td width="41%">(<a href="http://httpd.apache.org/docs-2.0/ssl/">**</a>)&#160;
+ </td>
+ </tr>
+ <tr>
+ <td width="59%"><b>Jakarta mod_jk </b></td>
+ <td width="41%"><a href="http://jakarta.apache.org/tomcat/tomcat-4.1-doc/jk2/">1.2.2&#160;</a>
+ </td>
+ </tr>
+ <tr>
+ <td width="59%"><b>Jakarta Log4j </b></td>
+ <td width="41%"><a href="http://jakarta.apache.org/log4j/docs/index.html">1.2.7</a>&#160;
+ </td>
+ </tr>
+ <tr>
+ <td width="59%"><b>PostgreSQL </b></td>
+ <td width="41%"><a href="http://techdocs.postgresql.org/installguides.php">7.3</a>&#160;
+ </td>
+ </tr>
+ </table>
</div>
-<br /><br />
+<br />
+ (*) Aufgrund eines geringf&uuml;gigen Mangels in Tomcat 4.1.27
+ muss eine gepatchte Version von 'tomcat-util.jar' verwendet
+ werden. Diese gepatchte Version ist in der MOA-ID Distribution
+ enthalten. <br>
+ Details: <a href="http://nagoya.apache.org/bugzilla/show_bug.cgi?id=22701">Tomcat-Bugzilla
+ Bug id=22701</a>. <br>
+ <br />
-<div id="block">
-(*) passend zur Version des Apache Webservers
-</div>
+ <div id="block"> (**) passend zur Version des Apache Webservers </div>
</td></tr></table>
<br /><br />
@@ -279,5 +322,5 @@ Die Versionsangaben beziehen sich auf die Versionen, mit denen die MOA ID Webapp
</div>
-</body>
+</div></div></div></div></div></div></body>
</html> \ No newline at end of file
diff --git a/id.server/doc/moa_id/id-admin_1.htm b/id.server/doc/moa_id/id-admin_1.htm
index f56338747..73d5e3ef9 100644
--- a/id.server/doc/moa_id/id-admin_1.htm
+++ b/id.server/doc/moa_id/id-admin_1.htm
@@ -67,7 +67,7 @@ Projekt <span style="font-size:48pt; ">moa</span>&#160;
<br />
<div id="klein"><a href="moa.htm"><img src="../moa_images/west.gif" border="0" width="13" height="14" />
<b> Zur&uuml;ck</b></a></div>
-</br /><br />
+<br />
<div id="slogan">
<b>Installationsschritte: </b>
<br />
@@ -87,25 +87,59 @@ Unterschiede sind in der Installationsanweisung angef&uuml;hrt.
<div id="vorbereitung" />
<p id="subtitel">Vorbereitung</p>
<div id="block">
-<b>Installation des JDK</b><br />
-Installieren Sie das JDK 1.3.1 oder JDK 1.4.1 in ein beliebiges Verzeichnis. Das Wurzelverzeichnis der JDK-Installation wird im weiteren Verlauf als $JAVA_HOME bezeichnet.
-<br /><br />
-<b>Installation von Tomcat</b><br />
-Installieren Sie Tomcat in ein Verzeichnis, das keine Leerzeichen im Pfadnamen enth&auml;lt. Das Wurzelverzeichnis der Tomcat-Installation wird im weiteren Verlauf als $CATALINA_HOME bezeichnet. <b>Hinweis:</b> Tomcat wird in einer Distribution f&uuml;r JDKs ab Version 1.2 und in einer Distribution speziell f&uuml;r JDK 1.4 ausgeliefert. Installieren Sie die zur Version Ihres JDK passende Tomcat-Version.
-<br /><br />
-<b>Entpacken der MOA ID Webapplikation</b><br />
-Entpacken Sie die ausgelieferten Dateien der Webapplikation (moa-id-auth-x.y.zip oder moa-id-proxy-x.y.zip; ersetzen Sie x.y durch die Releasenummer von MOA-ID-AUTH bzw. MOA-ID-PROXY) in ein beliebiges Verzeichnis. Diese Verzeichnisse werden im weiteren Verlauf als $MOA_ID_INST_AUTH bzw. $MOA_ID_INST_PROXY bezeichnet.
-<br /><br />
-<b>Installation der IAIK JCE, des IAIK LDAP Protocol Handlers und von JSSE (JDK 1.3.1)</b><br />
-Da Java in der Version 1.3.1 ohne Unterst&uuml;tzung f&uuml;r Kryptographie, LDAP und SSL ausgeliefert wird, m&uuml;ssen diese Funktionalit&auml;ten nachtr&auml;glich installiert werden. Es stehen hierf&uuml;r zwei M&ouml;glichkeiten zur Verf&uuml;gung: <br />
-1. Installation innerhalb des JDK 1.3.1:<br />
-Die Dateien aus dem Verzeichnis $MOA_ID_INST_AUTH/ext13 (oder $MOA_ID_INST_PROXY/ext13) m&uuml;ssen in das Verzeichnis $JAVA_HOME/jre/lib/ext kopiert werden. Anschlie&szlig;end steht eine Unterst&uuml;tzung f&uuml;r Kryptographie und SSL jeder Java-Anwendung die dieses JDK verwendet zur Verf&uuml;gung.<br />
-2. Installation ausschlie&szlig;lich f&uuml;r Applikationen innerhalb von Tomcat:<br />
-Um die o.g. Unterst&uuml;tzung nur Tomcat-Anwendungen zu erm&ouml;glichen, k&ouml;nnen die Dateien aus dem Verzeichnis $MOA_ID_INST_AUTH/ext13 (oder $MOA_ID_INST_PROXY/ext13) in ein beliebiges Verzeichnis kopiert werden. Im Folgenden wird dieses Verzeichnis $MOA_ID_EXT genannt. Anschlie&szlig;end muss der Tomcat-Klassenpfad angepasst werden:<br/>
-F&uuml;r Windows-Betriebssysteme ist daf&uuml;r die Datei $CATALINA_HOME\bin\setclasspath.bat anzupassen:<br/>
-Hinter <i>'set CLASSPATH=%JAVA_HOME%\lib\tools.jar'</i> m&uuml;ssen nun jeweils mit Semikolon getrennt, die Dateien aus $MOA_ID_EXT inklusive der vollst&auml;ndigen Pfadangaben angef&uuml;gt werden.<br/>
-Anschlie&szlig;end sieht diese Zeile beispielsweise folgenderma&szlig;en aus:
-<pre>
+ <p><b>Installation des JDK</b><br />
+ Installieren Sie das JDK 1.3.1, JDK 1.4.1 oder JDK 1.4.2 in ein
+ beliebiges Verzeichnis. Das Wurzelverzeichnis der JDK-Installation
+ wird im weiteren Verlauf als $JAVA_HOME bezeichnet. <br />
+ <br />
+ <b>Installation von Tomcat</b><br />
+ Installieren Sie Tomcat in ein Verzeichnis, das <b>keine Leer- und
+ Sonderzeichen</b> im Pfadnamen enth&auml;lt. Am Besten verwenden
+ die referenzierte Version von Tomcat im zip-Format. (Hinweis f.
+ Windows: nicht die selbstinstallierende exe Version verwenden.)
+ Das Wurzelverzeichnis der Tomcat-Installation wird im weiteren Verlauf
+ als $CATALINA_HOME bezeichnet. </p>
+ <p><b>Hinweis:</b> Tomcat 4.1.18 wird in einer Distribution f&uuml;r
+ JDKs ab Version 1.2 und in einer Distribution speziell f&uuml;r
+ JDK 1.4 ausgeliefert. Installieren Sie die zur Version Ihres JDK
+ passende Tomcat-Version. </p>
+ <p><b>Hinweis:</b> Wenn Sie Tomcat 4.1.27 einsetzen, so m&uuml;ssen
+ sie $CATALINA_HOME/server/lib/tomcat-util.jar durch die gepatchte
+ Version welche in der MOA-ID Distribution (*) enthalten ist ersetzen.<br />
+ <br />
+ <b>Entpacken der MOA ID Webapplikation</b><br />
+ Entpacken Sie die ausgelieferten Dateien der Webapplikation (moa-id-auth-x.y.zip
+ oder moa-id-proxy-x.y.zip; ersetzen Sie x.y durch die Releasenummer
+ von MOA-ID-AUTH bzw. MOA-ID-PROXY) in ein beliebiges Verzeichnis.
+ Diese Verzeichnisse werden im weiteren Verlauf als $MOA_ID_INST_AUTH
+ bzw. $MOA_ID_INST_PROXY bezeichnet. <br />
+ <br />
+ <b>Installation der IAIK JCE, des IAIK LDAP Protocol Handlers und
+ von JSSE (JDK 1.3.1)</b><br />
+ Da Java in der Version 1.3.1 ohne Unterst&uuml;tzung f&uuml;r Kryptographie,
+ LDAP und SSL ausgeliefert wird, m&uuml;ssen diese Funktionalit&auml;ten
+ nachtr&auml;glich installiert werden. Es stehen hierf&uuml;r zwei
+ M&ouml;glichkeiten zur Verf&uuml;gung: <br />
+ 1. Installation innerhalb des JDK 1.3.1:<br />
+ Die Dateien aus dem Verzeichnis $MOA_ID_INST_AUTH/ext13 (oder $MOA_ID_INST_PROXY/ext13)
+ m&uuml;ssen in das Verzeichnis $JAVA_HOME/jre/lib/ext kopiert werden.
+ Anschlie&szlig;end steht eine Unterst&uuml;tzung f&uuml;r Kryptographie
+ und SSL jeder Java-Anwendung die dieses JDK verwendet zur Verf&uuml;gung.<br />
+ 2. Installation ausschlie&szlig;lich f&uuml;r Applikationen innerhalb
+ von Tomcat:<br />
+ Um die o.g. Unterst&uuml;tzung nur Tomcat-Anwendungen zu erm&ouml;glichen,
+ k&ouml;nnen die Dateien aus dem Verzeichnis $MOA_ID_INST_AUTH/ext13
+ (oder $MOA_ID_INST_PROXY/ext13) in ein beliebiges Verzeichnis kopiert
+ werden. Im Folgenden wird dieses Verzeichnis $MOA_ID_EXT genannt.
+ Anschlie&szlig;end muss der Tomcat-Klassenpfad angepasst werden:<br/>
+ F&uuml;r Windows-Betriebssysteme ist daf&uuml;r die Datei $CATALINA_HOME\bin\setclasspath.bat
+ anzupassen:<br/>
+ Hinter <i>'set CLASSPATH=%JAVA_HOME%\lib\tools.jar'</i> m&uuml;ssen
+ nun jeweils mit Semikolon getrennt, die Dateien aus $MOA_ID_EXT
+ inklusive der vollst&auml;ndigen Pfadangaben angef&uuml;gt werden.<br/>
+ Anschlie&szlig;end sieht diese Zeile beispielsweise folgenderma&szlig;en
+ aus: </p>
+ <pre>
set CLASSPATH=%JAVA_HOME%\lib\tools.jar;
$MOA_ID_EXT\iaik_jce_full.jar;
$MOA_ID_EXT\iaik_ldap.jar;
@@ -113,14 +147,29 @@ Anschlie&szlig;end sieht diese Zeile beispielsweise folgenderma&szlig;en aus:
$MOA_ID_EXT\jnet.jar;
$MOA_ID_EXT\jsse.jar
</pre>
-($MOA_ID_EXT ist durch den tats&auml;chlichen Pfad zu ersetzen)<br />
-Unix/Linux-Anwender verfahren analog mit der Datei $CATALINA_HOME/bin/setclasspath.sh wobei ';' durch ':' zu ersetzen ist.<br /><br />
-<b>Installation der IAIK JCE und des IAIK LDAP Protocol Handlers (JDK 1.4.1)</b><br />
-Die Dateien aus dem Verzeichnis $MOA_ID_INST_AUTH/ext14 (oder $MOA_ID_INST_PROXY/ext14) m&uuml;ssen in das Verzeichnis $JAVA_HOME/jre/lib/ext kopiert werden. Anschlie&szlig;end steht eine Unterst&uuml;tzung f&uuml;r Kryptographie und SSL jeder Java-Anwendung die dieses JDK verwendet zur Verf&uuml;gung.<br />
-Zus&auml;tzlich m&uuml;ssen die so genannten "Unlimited Strength Jurisdiction Policy Files 1.4.1" heruntergeladen, entpackt und ins Verzeichnis $JAVA_HOME/jre/lib/security kopiert werden. Der Download f&uuml;r diese Dateien findet sich am unteren Ende der <a href="http://java.sun.com/j2se/1.4.1/download.html">Download-Seite f&uuml;r das JDK 1.4.1</a> in der Sektion "Other Downloads".
-</div>
+ <p>($MOA_ID_EXT ist durch den tats&auml;chlichen Pfad zu ersetzen)<br />
+ Unix/Linux-Anwender verfahren analog mit der Datei $CATALINA_HOME/bin/setclasspath.sh
+ wobei ';' durch ':' zu ersetzen ist.<br />
+ <br />
+ <b>Installation der IAIK JCE und des IAIK LDAP Protocol Handlers
+ (JDK 1.4.1 bzw. JDK 1.4.2)</b><br />
+ Die Dateien aus dem Verzeichnis $MOA_ID_INST_AUTH/ext14 (oder $MOA_ID_INST_PROXY/ext14)
+ m&uuml;ssen in das Verzeichnis $JAVA_HOME/jre/lib/ext kopiert werden.
+ Anschlie&szlig;end steht eine Unterst&uuml;tzung f&uuml;r Kryptographie
+ und SSL jeder Java-Anwendung die dieses JDK verwendet zur Verf&uuml;gung.<br>
+ <br />
+ Zus&auml;tzlich m&uuml;ssen die so genannten Unlimited Strength
+ Jurisdiction Policy Files 1.4.1 (bzw. 1.4.2) heruntergeladen, entpackt
+ und ins Verzeichnis $JAVA_HOME/jre/lib/security kopiert werden.
+ </p>
+ <p>Der Download f&uuml;r diese Dateien findet sich am unteren Ende
+ der Download-Seite des jeweiligen JDK 1.4.x in der Sektion "Other
+ Downloads". D.h. <a href="http://java.sun.com/j2se/1.4.1/download.html">JDK
+ hier f&uuml;r 1.4.1</a> bzw. das JDK <a href="http://java.sun.com/j2se/1.4.2/download.html">hier
+ f&uuml;r 1.4.2</a>.</p>
+ </div>
-</td></tr></table>
+</div></td></tr></table>
<div id="Tomcat" />
<table width="650" border="0" cellpadding="10" cellspacing="0">
@@ -174,24 +223,49 @@ Um diese Benutzer-Rolle und einen oder mehrere Benutzer einzurichten, m&uuml;sse
<p id="subtitel">Deployment von MOA-ID-AUTH in Tomcat</p>
<div id="block">
Um MOA-ID-AUTH in Tomcat f&uuml;r den Ablauf vorzubereiten, sind folgende Schritte notwendig: <br />
-<ul>
-<li>Die Datei $MOA_ID_INST_AUTH/moa-id-auth.war wird ins Verzeichnis $CATALINA_HOME/webapps kopiert. Dort wird sie beim ersten Start von Tomcat automatisch ins Verzeichnis $CATALINA_HOME/webapps/moa-id-auth entpackt. </li>
-<li>Die MOA-ID Konfigurationsdatei und die zugeh&ouml;rigen Verzeichnisse "certs" und "transforms" werden in ein beliebiges Verzeichnis im Filesystem kopiert (z.B. $CATALINA_HOME/conf/moa-id). <br />In $MOA_ID_INST_AUTH/conf/moa-id befindet sich eine funktionsf&auml;hige Konfiguration, die als Ausgangspunkt f&uuml;r die Konfiguration von MOA-ID-AUTH dienen kann. </li>
-<li>Die endorsed Libraries f&uuml;r Tomcat m&uuml;ssen aus dem Verzeichnis $MOA_ID_INST_AUTH/endorsed in das Tomcat-Verzeichnis $CATALINA_HOME/common/endorsed kopieren werden. Folgende Libraries sind f&uuml;r das Deployment im endorsed Verzeichnis vorgesehen:
-<ul>
-<li id="klein">Xerces-J-2.0.2 (bestehend aus xercesImpl.jar und xmlParserAPIs.jar)</li>
-</ul>
-Eventuell vorhandene Dateien mit dem gleichen Namen m&uuml;ssen ersetzt werden.
-</li>
-<li>Folgende Java System Properties sind zu setzen: <br />
-<ul id="klein">
-<li id="klein">moa.id.configuration=Name der MOA ID Konfigurationsdatei. Eine beispielhafte MOA ID Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/ SampleMOAIDConfiguration.xml enthalten.</li>
-<li id="klein">log4j.configuration=URL der Log4j Konfigurationsdatei. Eine beispielhafte Log4j-Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/log4j.properties enthalten. </li>
-<li id="klein">javax.net.ssl.trustStore=Name des Truststores f&uuml;r vertrauensw&uuml;rdige SSL Client-Zertifikate (optional; nur, wenn SSL Client-Authentisierung durchgef&uuml;hrt werden soll). </li>
-</ul>
-Diese Java System-Properties werden Tomcat &uuml;ber die Umgebungsvariable CATALINA_OPTS mitgeteilt
-(siehe Beispiele f&uuml;r <a href="examples/moa-id-env-windows.txt">Windows</a> und f&uuml;r <a href="examples/moa-id-env-linux.txt">Linux</a>).
-</ul>
+ <ul>
+ <li>Die Datei $MOA_ID_INST_AUTH/moa-id-auth.war wird ins Verzeichnis
+ $CATALINA_HOME/webapps kopiert. Dort wird sie beim ersten Start
+ von Tomcat automatisch ins Verzeichnis $CATALINA_HOME/webapps/moa-id-auth
+ entpackt. </li>
+ <li>Die MOA-ID Konfigurationsdatei und die zugeh&ouml;rigen Verzeichnisse
+ "certs" und "transforms" werden in ein beliebiges Verzeichnis
+ im Filesystem kopiert (z.B. $CATALINA_HOME/conf/moa-id). <br />
+ In $MOA_ID_INST_AUTH/conf/moa-id befindet sich eine funktionsf&auml;hige
+ Konfiguration, die als Ausgangspunkt f&uuml;r die Konfiguration
+ von MOA-ID-AUTH dienen kann. </li>
+ <li>Die endorsed Libraries f&uuml;r Tomcat m&uuml;ssen aus dem
+ Verzeichnis $MOA_ID_INST_AUTH/endorsed in das Tomcat-Verzeichnis
+ $CATALINA_HOME/common/endorsed kopieren werden. Folgende Libraries
+ sind f&uuml;r das Deployment im endorsed Verzeichnis vorgesehen:
+ <ul>
+ <li id="klein">Xerces-J-2.0.2 (bestehend aus xercesImpl.jar
+ und xmlParserAPIs.jar) - f&uuml;r alle JDKs.<br>
+ </li>
+ <li>Nur im Fall von JDK 1.4.1: kopieren sie auch die Xalan-j-2.2
+ Libraries ( bestehend aus bsf.jar und xalan.jar).</li>
+ </ul>
+ Eventuell vorhandene Dateien mit dem gleichen Namen m&uuml;ssen
+ ersetzt werden.</li>
+ <li>Folgende Java System Properties sind zu setzen: <br />
+ <ul id="klein">
+ <li id="klein">moa.id.configuration=Name der MOA ID Konfigurationsdatei.
+ Eine beispielhafte MOA ID Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/
+ SampleMOAIDConfiguration.xml enthalten.</li>
+ <li id="klein">log4j.configuration=URL der Log4j Konfigurationsdatei.
+ Eine beispielhafte Log4j-Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/log4j.properties
+ enthalten. </li>
+ <li id="klein">javax.net.ssl.trustStore=Name des Truststores
+ f&uuml;r vertrauensw&uuml;rdige SSL Client-Zertifikate (optional;
+ nur, wenn SSL Client-Authentisierung durchgef&uuml;hrt werden
+ soll). </li>
+ </ul>
+ Diese Java System-Properties werden Tomcat &uuml;ber die Umgebungsvariable
+ CATALINA_OPTS mitgeteilt (Beispiel-Skripte zum Setzen dieser
+ Properties f&uuml;r <b>Windows</b> und f&uuml;r <b>Unix bzw
+ Linux</b> finden sie unter $MOA_ID_INST_AUTH/tomcat/win32 bzw.
+ $MOA_ID_INST_AUTH/tomcat/unix).
+ </ul>
</div>
</td></tr></table>
@@ -208,29 +282,62 @@ Diese Java System-Properties werden Tomcat &uuml;ber die Umgebungsvariable CATAL
<p id="subtitel">Deployment von MOA-ID-PROXY in Tomcat</p>
<div id="block">
Um MOA-ID-PROXY in Tomcat f&uuml;r den Ablauf vorzubereiten, sind folgende Schritte notwendig: <br />
-<ul>
-<li>Die Datei $MOA_ID_INST_PROXY/moa-id-proxy.war wird in ein beliebiges Verzeichnis (bspw. $CATALINA_HOME) kopiert. <b>HINWEIS: Das Verzeichnis darf NICHT $CATALINA_HOME/webapps sein!</b><br />
- Anschliessend muss in der Datei <tt>$CATALINA_HOME/conf/server.xml</tt> der Tomcat-Root-Context auf diese Datei gesetzt werden: wenn das war-file sich in $CATALINA_HOME befindet, geschieht dies mit dem Einf&uuml;gen von folgendem Element innerhalb von <tt>&lt;Server&gt;...&lt;Service&gt;...&lt;Engine&gt;...&lt;Host&gt;</tt>: </li>
-<pre>&lt;Context path="" docBase="../moa-id-proxy.war" debug="0"/&gt;</pre>
-Anmerkung: Der Root-Context von Tomcat ist normalerweise auskommentiert. <br /><br />
-<li>Die MOA-ID Konfigurationsdatei und die zugeh&ouml;rigen Verzeichnisse "certs" und "oa" werden in ein beliebiges Verzeichnis im Filesystem kopiert (z.B. $CATALINA_HOME/ conf/moa-id). <br />
-In $MOA_ID_INST_PROXY/conf/moa-id befindet sich eine funktionsf&auml;hige Konfiguration, die als Ausgangspunkt f&uuml;r die Konfiguration von MOA-ID-PROXY dienen kann. </li>
-<li>Die endorsed Libraries f&uuml;r Tomcat m&uuml;ssen aus dem Verzeichnis $MOA_ID_INST_PROXY/endorsed in das Tomcat-Verzeichnis $CATALINA_HOME/common/endorsed kopiert werden. Folgende Libraries sind f&uuml;r das Deployment im endorsed Verzeichnis vorgesehen:
-<ul>
-<li id="klein">Xerces-J-2.0.2 (bestehend aus xercesImpl.jar und xmlParserAPIs.jar)</li>
-</ul>
-Eventuell vorhandene Dateien mit dem gleichen Namen m&uuml;ssen ersetzt werden.
-</li>
-<li>Folgende Java System Properties sind zu setzen: <br />
-<ul id="klein">
-<li id="klein">moa.id.configuration=Name der MOA ID Konfigurationsdatei. Eine beispielhafte MOA ID Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/ SampleMOAIDConfiguration.xml enthalten.</li>
-<li id="klein">log4j.configuration=URL der Log4j Konfigurationsdatei. Eine beispielhafte Log4j-Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/log4j.properties enthalten. </li>
-<li id="klein">javax.net.ssl.trustStore=Name des Truststores f&uuml;r vertrauensw&uuml;rdige SSL Client-Zertifikate (optional; nur, wenn SSL Client-Authentisierung durchgef&uuml;hrt werden soll). </li>
-</ul>
-Diese Java System-Properties werden Tomcat &uuml;ber die Umgebungsvariable CATALINA_OPTS mitgeteilt
-(siehe Beispiele f&uuml;r <a href="examples/moa-id-env-windows.txt">Windows</a> und f&uuml;r <a href="examples/moa-id-env-linux.txt">Linux</a>).
-</ul>
-</div>
+ <ul>
+ <li>Die Datei $MOA_ID_INST_PROXY/moa-id-proxy.war wird in ein
+ beliebiges Verzeichnis (bspw. $CATALINA_HOME) kopiert. <b>HINWEIS:
+ Das Verzeichnis darf NICHT $CATALINA_HOME/webapps sein!</b><br>
+ <br />
+ Anschliessend muss in der Datei <tt>$CATALINA_HOME/conf/server.xml</tt>
+ der Tomcat-Root-Context auf diese Datei gesetzt werden: wenn
+ das war-file sich in $CATALINA_HOME befindet, geschieht dies
+ mit dem Einf&uuml;gen von folgendem Element innerhalb von
+ <tt>&lt;Server&gt;...&lt;Service&gt;...&lt;Engine&gt;...&lt;Host&gt;</tt>:
+ </li>
+ <pre>&lt;Context path="" docBase="../moa-id-proxy.war" debug="0"/&gt;</pre>
+ Anmerkung: Der Root-Context von Tomcat ist normalerweise auskommentiert.
+ <br />
+ <br />
+ <li>Die MOA-ID Konfigurationsdatei und die zugeh&ouml;rigen
+ Verzeichnisse "certs" und "oa" werden in ein beliebiges Verzeichnis
+ im Filesystem kopiert (z.B. $CATALINA_HOME/ conf/moa-id).
+ <br />
+ In $MOA_ID_INST_PROXY/conf/moa-id befindet sich eine funktionsf&auml;hige
+ Konfiguration, die als Ausgangspunkt f&uuml;r die Konfiguration
+ von MOA-ID-PROXY dienen kann. </li>
+ <li>Die endorsed Libraries f&uuml;r Tomcat m&uuml;ssen aus dem
+ Verzeichnis $MOA_ID_INST_PROXY/endorsed in das Tomcat-Verzeichnis
+ $CATALINA_HOME/common/endorsed kopiert werden. Folgende Libraries
+ sind f&uuml;r das Deployment im endorsed Verzeichnis vorgesehen:
+ <ul>
+ <li id="klein">Xerces-J-2.0.2 (bestehend aus xercesImpl.jar
+ und xmlParserAPIs.jar)</li>
+ </ul>
+ Eventuell vorhandene Dateien mit dem gleichen Namen m&uuml;ssen
+ ersetzt werden. </li>
+ <li>Folgende Java System Properties sind zu setzen: <br />
+ <ul id="klein">
+ <li id="klein">moa.id.configuration=Name der MOA ID Konfigurationsdatei.
+ Eine beispielhafte MOA ID Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/
+ SampleMOAIDConfiguration.xml enthalten.</li>
+ <li id="klein">log4j.configuration=URL der Log4j Konfigurationsdatei.
+ Eine beispielhafte Log4j-Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/log4j.properties
+ enthalten. </li>
+ <li id="klein">javax.net.ssl.trustStore=Name des Truststores
+ f&uuml;r vertrauensw&uuml;rdige SSL Client-Zertifikate
+ (optional; nur, wenn SSL Client-Authentisierung durchgef&uuml;hrt
+ werden soll). </li>
+ </ul>
+ Diese Java System-Properties werden Tomcat &uuml;ber die Umgebungsvariable
+ CATALINA_OPTS mitgeteilt (siehe Beispiele f&uuml;r <a href="examples/startTomcat.bat.txt">Windows</a>
+ und f&uuml;r <a href="examples/moa-id-env.sh.txt">Unix/Linux</a>).
+ <br>
+ <br>
+ Beispiel-Skripts zum Setzen von CATALINA_OPTS und zum Starten
+ von Tomcat sind in $MOA_ID_INST_AUTH\tomcat\ zu finden - Sie
+ k&ouml;nnen diese f&uuml;r Ihre Zwecke adaptieren (JAVA_HOME
+ und $CATALINA_HOME setzen) und nach $CATALINA_HOME kopieren.
+ </ul>
+ </div>
</td></tr></table>
<div id="Tomcat_Start" />
@@ -243,10 +350,11 @@ Diese Java System-Properties werden Tomcat &uuml;ber die Umgebungsvariable CATAL
</td>
<td valign="top">
<p id="subtitel">Starten und Stoppen von Tomcat </p>
-<div id="block">
-Nach dem Deployment und der Konfiguration kann Tomcat aus seinem Wurzelverzeichnis mit <br />
-<pre>
- bin\catalina start (unter Windows) oder
+ <div id="block"> Nach dem Deployment und der Konfiguration kann
+ Tomcat aus seinem Wurzelverzeichnis ($CATALINA_HOME) mit <br />
+ <pre>
+ startTomcat (unter Windows) oder
+ moa-id-env.sh
bin/catalina.sh start (unter Unix/Linux)
</pre>
gestartet werden. Das Stoppen von Tomcat erfolgt analog mit <br />
@@ -293,7 +401,7 @@ FATAL | 03 13:19:06,924 | main | Fehler
</pre>
In diesem Fall geben die WARN bzw. ERROR Log-Meldungen unmittelbar davor Aufschluss &uuml;ber den genaueren Grund. <br />
</div>
-</td></tr></table>
+</div></td></tr></table>
<div id="Logging" />
@@ -376,11 +484,20 @@ Wenn nun versucht wird, eine Transaktion mit einer ung&uumlltigen SessionID fort
(MOASessionID=-8650403497547200032)
</pre>
<div id="block">
-In diesem Fall gibt der mitgeloggte Stacktrace Auskunft &uuml;ber die Art des Fehlers. Der Aufrufer der MOA ID Webapplikation bekommt einen Fehlercode sowie eine kurze Beschreibung des Fehlers als Antwort zur&uuml;ck.
-<br /><br />
-Die Tats&auml;chlich &uuml;bertragenen Anfragen bzw. Antworten werden aus Effizienzgr&uuml;nden nur im Log-Level DEBUG angezeigt.
-</div>
-</td></tr></table>
+ <p>In diesem Fall gibt der mitgeloggte Stacktrace Auskunft
+ &uuml;ber die Art des Fehlers. Der Aufrufer der MOA ID
+ Webapplikation bekommt einen Fehlercode sowie eine kurze
+ Beschreibung des Fehlers als Antwort zur&uuml;ck. <br />
+ <br />
+ Die Tats&auml;chlich &uuml;bertragenen Anfragen bzw. Antworten
+ werden aus Effizienzgr&uuml;nden nur im Log-Level DEBUG
+ angezeigt. </p>
+ <hr />
+ <p>(*) Die gepatchte Version von tomcat-util.jar ist im
+ Verzeichnis $MOA_ID_INST_AUTH\tomcat\tomcat-util-4.1.27-patched\
+ zu finden.</p>
+ </div>
+</div></td></tr></table>
<br /><br />
@@ -396,5 +513,5 @@ Die Tats&auml;chlich &uuml;bertragenen Anfragen bzw. Antworten werden aus Effizi
</div>
-</body>
+</div></div></div></div></div></body>
</html> \ No newline at end of file
diff --git a/id.server/doc/moa_id/id-admin_2.htm b/id.server/doc/moa_id/id-admin_2.htm
index b4e22a36b..3bf2a6892 100644
--- a/id.server/doc/moa_id/id-admin_2.htm
+++ b/id.server/doc/moa_id/id-admin_2.htm
@@ -110,286 +110,490 @@ Projekt <span style="font-size:48pt; ">moa</span>&#160;
</td>
-<td valign="top">
-<div id="titel">Konfiguration von MOA ID v.1.1</div>
-
-<div id="moaid-konfiguration" />
-<p id="subtitel">Konfiguration von MOA ID v.1.1</p>
-<p id="block">
-Die Konfiguration von MOA ID wird mittels einer XML-basierten Konfigurationsdatei, die dem Schema
-<a href="../MOA-ID-Configuration-1.1.xsd" target="_new">MOA-ID-Configuration-1.1.xsd</a> entspricht, durchgef&uuml;hrt.
-<p />
-Der Ort der Konfigurationsdatei wird im Abschnitt <a href="id-admin_1.htm#deployment">Deployment der Web-Applikation
-in Tomcat</a> beschrieben.
-<p />
-Die folgenden Abschnitte erl&auml;utern das Format der Konfigurationsdatei.
-<a href="examples/conf/MOA-ID-Configuration.xml" target="_new">MOA-ID-Configuration.xml</a> zeigt ein Beispiel
-f&uuml;r eine umfassende Konfigurationsdatei.
-</p>
-Enth&auml;lt die Konfigurationsdatei relative Pfadangaben, werden diese relativ zum Verzeichnis, in dem Tomcat gestartet wurde, interpretiert.
-
-<div id="ConnectionParameter" />
-<p id="block">
-<b>ConnectionParameter</b> <br />
-Das Element <tt>ConnectionParameter</tt> enth&auml;lt Parameter, die MOA-ID f&uuml;r den Aufbau von Verbindungen zu anderen Komponenten
-ben&ouml;tigt. Dieses Element tritt mehrfach in der Konfigurationsdatei auf und wird daher vorab detailliert beschrieben.
-<br /><br />
-Das Attribut <tt>URL</tt> enth&auml;lt die URL der Komponente zu der die Verbindung aufgebaut werden soll.
-Wird das Schema <tt>https</tt> verwendet, k&ouml;nnen die Kind-Elemente <tt>AcceptedServerCertificates</tt>
-und <tt>ClientKeyStore</tt> angegeben werden. Wird das Schema <tt>http</tt> verwendet m&uuml;ssen keine Kind-Elemente
-angegeben werden bzw. werden diese nicht ausgewertet. Andere Schemas werden nicht unterst&uuml;tzt.
-<br /><br />
-Wird die Verbindung &uuml;ber TLS aufgebaut und erfordert der TLS-Server eine Client-Authentisierung
-mittels Zertifikate, dann muss das Kind-Element <tt>ClientKeyStore</tt> spezifiziert werden, und es muss
-eine URL enthalten, die einen PKCS#12-Keystore mittels URL-Schema 'file:' referenziert.
-Diesem Keystore wird der private Schl&uuml;ssel f&uuml;r die TLS-Client-Authentisierung entnommen.
-Das Passwort zum Lesen des privaten Schl&uuml;ssels wird im Attribut <tt>ClientKeyStore/@password</tt> konfiguriert.<br />
-Aufgrund der Tatsache, dass starke Verschl&uuml;sselung eine Voraussetzung f&uuml;r MOA-ID darstellt, werden clientseitig nur die folgenden Cipher Suites unterst&uuml;tzt:<br/>
-<ul>
-<li><tt>SSL_RSA_WITH_RC4_128_SHA</tt></li>
-<li><tt>SSL_RSA_WITH_RC4_128_MD5</tt></li>
-<li><tt>SSL_RSA_WITH_3DES_EDE_CBC_SHA</tt></li>
-</ul>
-Im Kind-Element <tt>AcceptedServerCertificates</tt> kann ein Verzeichnisname angegeben werden, in dem die
-akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. Dieses Verzeichnis wird mittels URL-Schema 'file:' referenziert. In diesem Verzeichnis werden nur Serverzertifikate
-abgelegt. Fehlt dieser Parameter wird lediglich &uuml;berpr&uuml;ft ob ein Zertifikatspfad zu den im Element <tt>&lt;TrustedCACertificates&gt;</tt> angegebenen Zertifikaten erstellt werden kann. Falls dies nicht m&ouml;glich ist, kommt es zu einem Fehlerfall.
-</p>
-
-
-<div id="AuthComponent" />
-<p id="block">
-<b>AuthComponent</b> <br />
-<tt>AuthComponent</tt> enth&auml;lt Parameter, die nur die MOA-ID Authentisierungskomponente betreffen.
-Das Element ist optional und muss nicht verwendet werden, wenn auf dem Server keine MOA-ID Authentisierungskomponente
-installiert wird.
-<br /><br />
-Das Element <tt>AuthComponent</tt> hat vier Kind-Element:
-<ul>
-<li><tt>BKUSelection</tt> (optional)</li>
-<li><tt>SecurityLayer</tt></li>
-<li><tt>MOA-SP</tt></li>
-<li><tt>IdentityLinkSigners</tt></li>
-</ul>
-</p>
-
-<div id="BKUSelection" />
-<p id="block">
-<b>AuthComponent/BKUSelection</b> <br />
-Das optionale Element <tt>BKUSelection</tt> enth&auml;lt Parameter zur Nutzung eines Auswahldienstes f&uuml;r eine
-B&uuml;rgerkartenumgebung (BKU). Wird das Element nicht angegeben, dann wird die lokale B&uuml;rgerkartenumgebung
-auf <tt>http://localhost:3495/http-security-layer-request</tt> verwendet.
-<br /><br />
-Das Attribut <tt>BKUSelectionAlternative</tt> gibt an welche Alternative zur BKU-Auswahl verwendet werden soll. MOA-ID
-unterst&uuml;tzt die Werte <tt>HTMLComplete</tt> (vollst&auml;ndige HTML-Auswahl) und <tt>HTMLSelect</tt> (HTML-Code f&uuml;r Auswahl)
-[<a href="../bku-auswahl.20030408.pdf">"Auswahl von B&uuml;rgerkartenumge-bungen"</a>, Arno Hollosi].
-<br /><br />
-Das Kind-Element <tt>ConnectionParameter</tt> spezifiziert die Verbindung zum Auswahldienst (siehe
-<a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a>), jedoch kann das Kind-Element <tt>ClientKeyStore</tt>
-nicht angegeben werden.
-</p>
-
-<div id="SecurityLayer" />
-<p id="block">
-<b>AuthComponent/SecurityLayer</b> <br />
-Das Element <tt>SecurityLayer</tt> enth&auml;lt Parameter zur Nutzung des Security-Layers.
-<br /><br />
-Das Kind-Element <tt>TransformsInfo</tt> spezifiziert eine Transformation, die f&uuml;r die Erstellung der Signatur
-des AUTH-Blocks als Parameter in den <tt>CreateXMLSignatureRequest</tt> des Security-Layers integriert werden muss.
-Mehrere unterschiedliche Implementierungen des Security-Layer k&ouml;nnen durch die Angabe mehrerer <tt>TransformsInfo</tt>-Elemente unterst&uuml;tzt werden.
-<br /><br />
-Das Attribut <tt>TransformsInfo/@filename</tt> verweist auf eine Datei, die das globale Element <tt>TransformsInfo</tt> vom Typ
-<tt>TransformsInfo</tt> enth&auml;lt. Das Encoding dieser Datei muss (anders als im Beispiel) UTF-8 sein.
-<br /><br />
-<a href="examples/TransformsInfoAuthBlock.txt">Beispiel f&uuml;r eine TransformsInfo-Datei</a>
-</p>
-
-<div id="MOA-SP" />
-<p id="block">
-<b>AuthComponent/MOA-SP</b> <br />
-Das Element <tt>MOA-SP</tt> enth&auml;lt Parameter zur Nutzung von MOA-SP. MOA-SP wird f&uuml;r die &uuml;berpr&uuml;fung der Signatur
-der Personenbindung und des AUTH-Blocks verwendet.
-<br /><br />
-Wird das Kind-Element <tt>ConnectionParameter</tt> angegeben, dann wird MOA-SP &uuml;ber das Webservice angesprochen, andernfalls
-wird MOA-SP &uuml;ber das API angesprochen.
-<br /><br />
-Das Kind-Element <tt>VerifyIdentityLink/TrustProfileID</tt> spezifiziert eine TrustProfileID, die f&uuml;r den
-<tt>VerifyXMLSignatureRequest</tt> zur &uuml;berpr&uuml;fung der Signatur der Personenbindung verwendet werden muss.
-<br /><br />
-Die Kind-Elemente <tt>VerifyAuthBlock/TrustProfileID</tt> und <tt>VerifyAuthBlock/VerifyTransformsInfoProfileID</tt>
-spezifizieren eine TrustProfileID und eine ID f&uuml;r ein Transformationsprofil, die f&uuml;r den
-<tt>VerifyXMLSignatureRequest</tt> zur &uuml;berpr&uuml;fung der Signatur des Auth-Blocks verwendet werden m&uuml;ssen.
-</p>
-
-<div id="IdentityLinkSigners" />
-<p id="block">
-<b>AuthComponent/IdentityLinkSigners</b> <br />
-Dieses Element gibt an von welchen Signatoren die Signatur des IdentityLink erstellt werden musste
-damit der IdentityLink akzeptiert wird. F&uuml;r jeden Signator muss der <tt>X509SubjectName</tt> nach RFC 2253
-spezifiziert werden.
-<br /><br />
-<a href="examples/IdentityLinkSigners.txt">Beispiel</a>
-<br /><br />
-</p>
-
-<div id="ProxyComponent" />
-<p id="block">
-<b>ProxyComponent</b> <br />
-<tt>ProxyComponent</tt> enth&auml;lt Parameter, die nur die MOA-ID Proxykomponente betreffen.
-Das Element ist optional und muss nicht verwendet werden, wenn auf dem Server keine MOA-ID Proxykomponente
-installiert wird.
-<br /><br />
-Das Element <tt>ProxyComponent</tt> hat nur das Kind-Element <tt>AuthComponent</tt>, das die Verbindung zur
-Authentisierungs-komponente beschreibt.
-<br /><br />
-Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente
-&uuml;ber ein Webservice auf, dann muss das Element <tt>ConnectionParameter</tt> spezifiziert werden.
-<br /><br />
-Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente
-&uuml;ber das API auf, dann wird das Element <tt>ConnectionParameter</tt> nicht spezifiziert.
-</p>
-
-<div id="OnlineApplication" />
-<p id="block">
-<b>OnlineApplication</b> <br />
-F&uuml;r jede Online-Applikation, die &uuml;ber MOA-ID authentisiert wird, gibt es ein Element <tt>OnlineApplication</tt>.
-Die Parameter betreffen teils die MOA-ID Authentisierungskomponente, teils die MOA-ID Proxykomponente, teils beide.
-<br /><br />
-Das Attribut <tt>OnlineApplication/@publicURLPrefix</tt> entspricht dem URL-Pr&auml;fix der nach au&szlig;en sichtbaren
-Dom&auml;ne der Online-Applikation, welcher von der MOA-ID Proxykomponente durch den URL-Pr&auml;fix der wirklichen
-Dom&auml;ne (Attribut <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>) ersetzt wird.
-Es dient als Schl&uuml;ssel zum Auffinden der Konfigurationsparameter zur Online-Applikation.
-<br /><br />
-Das Element <tt>OnlineApplication</tt> hat optional zwei Kind-Elemente: <tt>AuthComponent</tt> und <tt>ProxyComponent</tt>.
-</p>
-
-<div id="OnlineApplication/AuthComponent" />
-<p id="block">
-<b>OnlineApplication/AuthComponent</b> <br />
-Das Element <tt>OnlineApplication/AuthComponent</tt> muss verwendet werden wenn auf dem Server die Authentisierungskomponente
-installiert wird. Es enth&auml;lt Parameter, die das Verhalten der Authentisierungskomponente bez&uuml;glich der Online-Applikation
-konfiguriert.
-<br /><br />
-Das Attribut <tt>provideZMRZahl</tt> bestimmt, ob die ZMR-Zahl in den Anmeldedaten aufscheint.
-Analog steuern die Attribute <tt>provideAUTHBlock</tt> und <tt>provideIdentityLink</tt>, ob die Anmeldedaten
-den Auth-Block bzw. die Personenbindung enthalten. Alle Attribute sind optional und haben den Default-Wert <tt>false</tt>.
-<br /><br />
-</p>
-
-<div id="OnlineApplication/ProxyComponent" />
-<p id="block">
-<b>OnlineApplication/ProxyComponent</b> <br />
-Das Element <tt>OnlineApplication/ProxyComponent</tt> muss verwendet werden wenn auf dem Server die Proxykomponente
-installiert wird.
-<br /><br />
-Das optionale Attribut <tt>configFileURL</tt> verweist auf eine Konfigurationsdatei die dem Schema
-<a href="../MOA-ID-Configuration-1.1.xsd" target="_new">MOA-ID-Configuration-1.1.xsd</a> entspricht mit Dokument-Element
-<tt>Configuration</tt>.<br />
-Default-Wert: <tt>http://&lt;realURLPrefix&gt;/MOAConfig.xml</tt>
-<br/>(<tt>&lt;realURLPrefix&gt;</tt> entspricht dem Wert von <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>)
-<br /><br />
-Das optionale Attribut <tt>sessionTimeOut</tt> legt das Timeout einer Benutzersession in der
-Proxykomponente in Sekunden fest.<br />
-Default-Wert: 3600
-<br /><br />
-Im optionalen Attribut <tt>loginParameterResolverImpl</tt> kann der Klassenname eines
-zu verwendenden <tt>LoginParameterResolver</tt> angegeben werden, welcher die Defaultimplementierung ersetzt.
-<br /><br />
-Im optionalen Attribut <tt>connectionBuilderImpl</tt> kann der Klassenname eines zu verwendenden
-ConnectionBuilder angegeben werden, welcher die Defaultimplementierung ersetzt.
-<br /><br />
-Im Kind-Element <tt>ConnectionParameter</tt> ist konfiguriert, wie MOA-ID-PROXY zur Online-Applikation verbindet.
-</p>
-
-<div id="ChainingModes" />
-<p id="block">
-<b>ChainingModes</b><br />
-Das Element <tt>ChainingModes</tt> definiert, ob bei der Zertifikatspfad-&uuml;berpr&uuml;fung das Kettenmodell
-(<tt>"chaining"</tt>) oder das Modell nach PKIX RFC 3280 (<tt>"pkix"</tt>) verwendet werden soll.
-<br /><br />
-Das Attribut <tt>systemDefaultMode</tt> spezifiziert das Modell, das im Standardfall verwendet werden soll.
-<br/><br/>
-Mit dem Kind-Element <tt>TrustAnchor</tt> kann f&uuml;r jeden Trust Anchor ein abweichendes Modell spezifiziert werden.
-Ein Trust Anchor ist ein Zertifikat, das in <tt>TrustedCACertificates</tt> spezifiziert ist.
-Ein Trust Anchor wird durch den Typ <tt>&lt;dsig:X509IssuerSerialType&gt;</tt> spezifiziert.
-Das f&uuml;r diesen Trust Anchor g&uuml;ltige Modell wird durch das Attribut <tt>mode</tt> spezifiziert.
-<br/><br/>
-G&uuml;ltige Werte f&uuml;r die Attribute <tt>systemDefaultMode</tt> und <tt>mode</tt> sind <tt>"chaining"</tt> und <tt>"pkix"</tt>.
-<br/><br/>
-<a href="examples/ChainingModes.txt">Beispiel</a>
-</p>
-
-<div id="TrustedCACertificates" />
-<p id="block">
-<b>TrustedCACertificates</b><br />
-Das Element <tt>TrustedCACertificates</tt> enth&auml;lt eine URL, die auf ein Verzeichnis verweist, das jene Zertifikate
-enth&auml;lt, die als vertrauensw&uuml;rdig betrachtet werden. Diese URL muss mittels URL-Schema 'file:' referenziert werden. Im Zuge der &Uuml;berpr&uuml;fung der TLS-Serverzertifikate wird die
-Zertifikatspfaderstellung an einem dieser Zertifikate beendet.
-</p>
-
-<div id="GenericConfiguration" />
-<p id="block">
-<b>GenericConfiguration</b><br />
-Das Element <tt>GenericConfiguration</tt> erm&ouml;glicht das Setzen von Namen-Werte Paaren mittels der Attribute
-<tt>name</tt> und <tt>value</tt>. Die folgende Liste spezifiziert
-<ul>
-<li>g&uuml;ltige Werte f&uuml;r das name-Attribut, </li>
-<li>eine Beschreibung </li>
-<li>g&uuml;ltige Werte f&uuml;r das value-Attribut und (falls vorhanden)</li>
-<li>den Default-Wert f&uuml;r das value-Attribut. </li>
-</ul>
-
-<table border="0" cellspacing="3" cellpadding="2">
-<tr id="DirectoryCertStoreParameters.RootDir"><th align="left">name: DirectoryCertStoreParameters.RootDir</th></tr>
-<tr><td id="info">
-Gibt den Pfadnamen zu einem Verzeichnis an, das als Zertifikatsspeicher im Zuge der TLS-Server-Zertifikats&uuml;berpr&uuml;fung
-verwendet wird.<br />
-<hr />
-<b>value: </b><br />
-G&uuml;ltige Werte: Name eines g&uuml;ltigen Verzeichnisses<br />
-<b>Dieser Parameter muss angegeben werden.</b>
-</td></tr>
-</table>
-
-<table border="0" cellspacing="3" cellpadding="2">
-<tr id="AuthenticationSession.TimeOut"><th align="left">name: AuthenticationSession.TimeOut</th></tr>
-<tr><td id="info">
-Gibt die Zeitspanne in Sekunden vom Beginn der Authentisierung bis zum Anlegen der Anmeldedaten an.
-Wird die Angegebene Zeitspanne &uuml;berschritten wird der Anmeldevorgang abgebrochen.
-<br />
-<hr />
-<b>value: </b><br />
-G&uuml;ltige Werte: positive Ganzzahlen <br />
-Default-Wert: 120
-</td></tr>
-</table>
-
-<table border="0" cellspacing="3" cellpadding="2">
-<tr id="AuthenticationData.TimeOut"><th align="left">name: AuthenticationData.TimeOut</th></tr>
-<tr><td id="info">
-Gibt die Zeitspanne in Sekunden an, f&uuml;r die die Anmeldedaten in der Authentisierungskomponente zum Abholen
-durch die Proxykomponente oder eine nachfolgende Applikation bereitstehen. Nach Ablauf dieser Zeitspanne werden die Anmeldedaten gel&ouml;scht.<br />
-<hr />
-<b>value: </b><br />
-G&uuml;ltige Werte: positive Ganzzahlen<br />
-Default-Wert: 600
-</td></tr>
-</table>
-
-<table border="0" cellspacing="3" cellpadding="2">
-<tr id="TrustManager.RevocationChecking"><th align="left">name: TrustManager.RevocationChecking</th></tr>
-<tr><td id="info">
-F&uuml;r die TLS-Server-Authentisierung d&uuml;rfen nur Server-Zertifikate verwendet werden, die eine CRLDP-Extension enthalten (andernfalls kann von MOA-ID keine CRL-&uuml;berpr&uuml;fung durchgef&uuml;hrt werden).
-<br />Soll das RevocationChecking generell ausgeschaltet werden, ist dieses Attribut anzugeben und auf "false" zu setzen.
-<br />
-<hr />
-<b>value: </b><br />
-G&uuml;ltige Werte: true, false<br />
-Default-Wert: true
-</td></tr>
-</table>
-
-
-</td></tr></table>
+ <td valign="top">
+ <div id="titel">Konfiguration von MOA ID v.1.1</div>
+ <div id="moaid-konfiguration" />
+ <p id="subtitel">Konfiguration von MOA ID v.1.1</p>
+ <p id="block"> Die Konfiguration von MOA ID wird mittels einer XML-basierten
+ Konfigurationsdatei, die dem Schema <a href="../MOA-ID-Configuration-1.1.xsd" target="_new">MOA-ID-Configuration-1.1.xsd</a>
+ entspricht, durchgef&uuml;hrt.
+ <p /> Der Ort der Konfigurationsdatei wird im Abschnitt <a href="id-admin_1.htm#deployment">Deployment
+ der Web-Applikation in Tomcat</a> beschrieben.
+ <p /> Die folgenden Abschnitte erl&auml;utern das Format der Konfigurationsdatei.
+ <a href="examples/conf/MOA-ID-Configuration.xml" target="_new">MOA-ID-Configuration.xml</a>
+ zeigt ein Beispiel f&uuml;r eine umfassende Konfigurationsdatei. </p>
+ <p>Enth&auml;lt die Konfigurationsdatei relative Pfadangaben, werden
+ diese relativ zum Verzeichnis, in dem sich die MOA-ID Konfigurationsdatei
+ befindet, interpretiert.<br>
+ </p>
+ <div id="ConnectionParameter" />
+ <p id="block"> <b>ConnectionParameter</b> <br />
+ Das Element <tt>ConnectionParameter</tt> enth&auml;lt Parameter,
+ die MOA-ID f&uuml;r den Aufbau von Verbindungen zu anderen Komponenten
+ ben&ouml;tigt. Dieses Element tritt mehrfach in der Konfigurationsdatei
+ auf und wird daher vorab detailliert beschrieben. <br />
+ <br />
+ Das Attribut <tt>URL</tt> enth&auml;lt die URL der Komponente zu
+ der die Verbindung aufgebaut werden soll. Wird das Schema <tt>https</tt>
+ verwendet, k&ouml;nnen die Kind-Elemente <tt>AcceptedServerCertificates</tt>
+ und <tt>ClientKeyStore</tt> angegeben werden. Wird das Schema <tt>http</tt>
+ verwendet m&uuml;ssen keine Kind-Elemente angegeben werden bzw.
+ werden diese nicht ausgewertet. Andere Schemas werden nicht unterst&uuml;tzt.
+ <br />
+ <br />
+ Wird die Verbindung &uuml;ber TLS aufgebaut und erfordert der TLS-Server
+ eine Client-Authentisierung mittels Zertifikate, dann muss das Kind-Element
+ <tt>ClientKeyStore</tt> spezifiziert werden. Im Element <tt>ClientKeyStore</tt>
+ wird der Filename des PKCS#12-Keys (relativ zur MOA-ID Konfigurationsdatei)
+ angegeben. Diesem Keystore wird der private Schl&uuml;ssel f&uuml;r
+ die TLS-Client-Authentisierung entnommen. Das Passwort zum Lesen
+ des privaten Schl&uuml;ssels wird im Attribut <tt>ClientKeyStore/@password</tt>
+ konfiguriert.<br />
+ Aufgrund der Tatsache, dass starke Verschl&uuml;sselung eine Voraussetzung
+ f&uuml;r MOA-ID darstellt, werden clientseitig nur die folgenden
+ Cipher Suites unterst&uuml;tzt:<br/>
+ <ul>
+ <li><tt>SSL_RSA_WITH_RC4_128_SHA</tt></li>
+ <li><tt>SSL_RSA_WITH_RC4_128_MD5</tt></li>
+ <li><tt>SSL_RSA_WITH_3DES_EDE_CBC_SHA</tt></li>
+ </ul>
+ Im Kind-Element <tt>AcceptedServerCertificates</tt> kann ein Verzeichnisname
+ (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem
+ die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In
+ diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser
+ Parameter wird lediglich &uuml;berpr&uuml;ft ob ein Zertifikatspfad
+ zu den im Element <tt>&lt;TrustedCACertificates&gt;</tt> angegebenen
+ Zertifikaten erstellt werden kann. Falls dies nicht m&ouml;glich ist,
+ kommt es zu einem Fehlerfall.
+ <p></p>
+ <div id="AuthComponent" />
+ <p id="block"> <b>AuthComponent</b> <br />
+ <tt>AuthComponent</tt> enth&auml;lt Parameter, die nur die MOA-ID
+ Authentisierungskomponente betreffen. Das Element ist optional
+ und muss nicht verwendet werden, wenn auf dem Server keine MOA-ID
+ Authentisierungskomponente installiert wird. <br />
+ <br />
+ Das Element <tt>AuthComponent</tt> hat vier Kind-Element:
+ <ul>
+ <li><tt>BKUSelection</tt> (optional)</li>
+ <li><tt>SecurityLayer</tt></li>
+ <li><tt>MOA-SP</tt></li>
+ <li><tt>IdentityLinkSigners</tt></li>
+ </ul>
+ <p></p>
+ <div id="BKUSelection" />
+ <p id="block"> <b>AuthComponent/BKUSelection</b> <br />
+ Das optionale Element <tt>BKUSelection</tt> enth&auml;lt Parameter
+ zur Nutzung eines Auswahldienstes f&uuml;r eine B&uuml;rgerkartenumgebung
+ (BKU). Wird das Element nicht angegeben, dann wird die lokale
+ B&uuml;rgerkartenumgebung auf <tt>http://localhost:3495/http-security-layer-request</tt>
+ verwendet. <br />
+ <br />
+ Das Attribut <tt>BKUSelectionAlternative</tt> gibt an welche
+ Alternative zur BKU-Auswahl verwendet werden soll. MOA-ID unterst&uuml;tzt
+ die Werte <tt>HTMLComplete</tt> (vollst&auml;ndige HTML-Auswahl)
+ und <tt>HTMLSelect</tt> (HTML-Code f&uuml;r Auswahl) [<a href="../bku-auswahl.20030408.pdf">"Auswahl
+ von B&uuml;rgerkartenumge-bungen"</a>, Arno Hollosi]. <br />
+ <br />
+ Das Kind-Element <tt>ConnectionParameter</tt> spezifiziert die
+ Verbindung zum Auswahldienst (siehe <a href="#ConnectionParameter"><tt>ConnectionParameter</tt></a>),
+ jedoch kann das Kind-Element <tt>ClientKeyStore</tt> nicht angegeben
+ werden. </p>
+ <div id="SecurityLayer" />
+ <p id="block"> <b>AuthComponent/SecurityLayer</b> <br />
+ Das Element <tt>SecurityLayer</tt> enth&auml;lt Parameter
+ zur Nutzung des Security-Layers. <br />
+ <br />
+ Das Kind-Element <tt>TransformsInfo</tt> spezifiziert eine
+ Transformation, die f&uuml;r die Erstellung der Signatur des
+ AUTH-Blocks als Parameter in den <tt>CreateXMLSignatureRequest</tt>
+ des Security-Layers integriert werden muss. Mehrere unterschiedliche
+ Implementierungen des Security-Layer k&ouml;nnen durch die
+ Angabe mehrerer <tt>TransformsInfo</tt>-Elemente unterst&uuml;tzt
+ werden. <br />
+ <br />
+ Das Attribut <tt>TransformsInfo/@filename</tt> verweist auf
+ eine Datei, die das globale Element <tt>TransformsInfo</tt>
+ vom Typ <tt>TransformsInfo</tt> enth&auml;lt. Die Angabe erfolgt
+ relativ zur MOA-ID Konfigurationsdatei. Das Encoding dieser
+ Datei muss (anders als im Beispiel) UTF-8 sein. <br />
+ <br />
+ <a href="examples/TransformsInfoAuthBlock.txt">Beispiel f&uuml;r
+ eine TransformsInfo-Datei</a> </p>
+ <div id="MOA-SP" />
+ <p id="block"> <b>AuthComponent/MOA-SP</b> <br />
+ Das Element <tt>MOA-SP</tt> enth&auml;lt Parameter zur Nutzung
+ von MOA-SP. MOA-SP wird f&uuml;r die &uuml;berpr&uuml;fung
+ der Signatur der Personenbindung und des AUTH-Blocks verwendet.
+ <br />
+ <br />
+ Wird das Kind-Element <tt>ConnectionParameter</tt> angegeben,
+ dann wird MOA-SP &uuml;ber das Webservice angesprochen.</p>
+ <p id="block">Wird das Kind-Element <tt>ConnectionParameter</tt>
+ nicht angegeben so wird eine MOA-ID beiligende Version von
+ MOA-SP direkt &uuml;ber das Java-API angesprochen. In diesem
+ Fall muss das System-Property auf die verwendete Konfigurationsdatei
+ von MOA-SP gesetzt werden. Eine beispielhafte MOA-SP Konfigurationsdatei
+ ist in <tt>$MOA_ID_INST_AUTH/conf/moa-spss/SampleMOASPSSConfiguration.xml</tt>
+ enthalten. </p>
+ </div>
+ </div>
+ </div>
+ </div>
+ </div>
+ </div>
+ <div id="moaid-konfiguration" />
+ <div id="ConnectionParameter" />
+ <div id="AuthComponent" />
+ <div id="BKUSelection" />
+ <div id="SecurityLayer" />
+ <div id="MOA-SP" />
+ <div id="verifytransformsInfoProfile" />
+ <p><b><i>Hinweis:</i></b><i> MOA-SP muss entsprechend konfiguriert
+ werden - siehe hierzu Abschnitt <a href="#sp-config">Konfiguration
+ von MOA-SP</a>. Alle Details zur Konfiguration von MOA-SP
+ finden sie in der Distribution von MOA-SP/SS beiligenden
+ Dokumentation im Abschnitt 'Konfiguration'.<br>
+ </i><br />
+ Das Kind-Element <tt>VerifyIdentityLink/TrustProfileID</tt>
+ spezifiziert eine TrustProfileID, die f&uuml;r den <tt>VerifyXMLSignatureRequest</tt>
+ zur &Uuml;berpr&uuml;fung der Signatur der Personenbindung
+ verwendet werden muss. Diese TrustProfileID muss beim
+ verwendeten MOA-SP Modul konfiguriert sein.<br />
+ <br />
+ Die Kind-Elemente <tt>VerifyAuthBlock/TrustProfileID</tt>
+ und <tt>VerifyAuthBlock/VerifyTransformsInfoProfileID</tt>
+ spezifizieren eine TrustProfileID und eine ID f&uuml;r
+ ein Transformationsprofil, die f&uuml;r den <tt>VerifyXMLSignatureRequest</tt>
+ zur &uuml;berpr&uuml;fung der Signatur des Auth-Blocks
+ verwendet werden m&uuml;ssen. Diese TrustProfileID muss
+ beim verwendeten MOA-SP Modul konfiguriert sein.</p>
+ </div>
+ </div>
+ </div>
+ </div>
+ </div>
+ </div>
+ </div>
+ <div id="moaid-konfiguration" />
+ <div id="ConnectionParameter" />
+ <div id="AuthComponent" />
+ <div id="BKUSelection" />
+ <div id="SecurityLayer" />
+ <div id="MOA-SP" />
+ <div id="IdentityLinkSigners" />
+ <p id="block"> <b>AuthComponent/IdentityLinkSigners</b>
+ <br />
+ Dieses Element gibt an von welchen Signatoren die Signatur
+ des IdentityLink erstellt werden musste damit der IdentityLink
+ akzeptiert wird. F&uuml;r jeden Signator muss der <tt>X509SubjectName</tt>
+ nach RFC 2253 spezifiziert werden. <br />
+ <br />
+ <a href="examples/IdentityLinkSigners.txt">Beispiel</a>
+ <br />
+ <br />
+ </p>
+ <div id="ProxyComponent" />
+ <p id="block"> <b>ProxyComponent</b> <br />
+ <tt>ProxyComponent</tt> enth&auml;lt Parameter, die
+ nur die MOA-ID Proxykomponente betreffen. Das Element
+ ist optional und muss nicht verwendet werden, wenn auf
+ dem Server keine MOA-ID Proxykomponente installiert
+ wird. <br />
+ <br />
+ Das Element <tt>ProxyComponent</tt> hat nur das Kind-Element
+ <tt>AuthComponent</tt>, das die Verbindung zur Authentisierungs-komponente
+ beschreibt. <br />
+ <br />
+ Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente
+ &uuml;ber ein Webservice auf, dann muss das Element
+ <tt>ConnectionParameter</tt> spezifiziert werden. <br />
+ <br />
+ Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente
+ &uuml;ber das API auf, dann wird das Element <tt>ConnectionParameter</tt>
+ nicht spezifiziert. </p>
+ <div id="OnlineApplication" />
+ <p id="block"> <b>OnlineApplication</b> <br />
+ F&uuml;r jede Online-Applikation, die &uuml;ber MOA-ID
+ authentisiert wird, gibt es ein Element <tt>OnlineApplication</tt>.
+ Die Parameter betreffen teils die MOA-ID Authentisierungskomponente,
+ teils die MOA-ID Proxykomponente, teils beide. <br />
+ <br />
+ Das Attribut <tt>OnlineApplication/@publicURLPrefix</tt>
+ entspricht dem URL-Pr&auml;fix der nach au&szlig;en
+ sichtbaren Dom&auml;ne der Online-Applikation, welcher
+ von der MOA-ID Proxykomponente durch den URL-Pr&auml;fix
+ der wirklichen Dom&auml;ne (Attribut <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>)
+ ersetzt wird. Es dient als Schl&uuml;ssel zum Auffinden
+ der Konfigurationsparameter zur Online-Applikation.
+ <br />
+ <br />
+ Das Element <tt>OnlineApplication</tt> hat optional
+ zwei Kind-Elemente: <tt>AuthComponent</tt> und <tt>ProxyComponent</tt>.
+ </p>
+ <div id="OnlineApplication/AuthComponent" />
+ <p id="block"> <b>OnlineApplication/AuthComponent</b>
+ <br />
+ Das Element <tt>OnlineApplication/AuthComponent</tt>
+ muss verwendet werden wenn auf dem Server die Authentisierungskomponente
+ installiert wird. Es enth&auml;lt Parameter, die
+ das Verhalten der Authentisierungskomponente bez&uuml;glich
+ der Online-Applikation konfiguriert. <br />
+ <br />
+ Das Attribut <tt>provideZMRZahl</tt> bestimmt, ob
+ die ZMR-Zahl in den Anmeldedaten aufscheint. Analog
+ steuern die Attribute <tt>provideAUTHBlock</tt>
+ und <tt>provideIdentityLink</tt>, ob die Anmeldedaten
+ den Auth-Block bzw. die Personenbindung enthalten.
+ Alle Attribute sind optional und haben den Default-Wert
+ <tt>false</tt>. <br />
+ <br />
+ </p>
+ <div id="OnlineApplication/ProxyComponent" />
+ <p id="block"> <b>OnlineApplication/ProxyComponent</b>
+ <br />
+ Das Element <tt>OnlineApplication/ProxyComponent</tt>
+ muss verwendet werden wenn auf dem Server die
+ Proxykomponente installiert wird. <br />
+ <br />
+ Das optionale Attribut <tt>configFileURL</tt>
+ verweist auf eine Konfigurationsdatei die dem
+ Schema <a href="../MOA-ID-Configuration-1.1.xsd" target="_new">MOA-ID-Configuration-1.1.xsd</a>
+ entspricht mit Dokument-Element <tt>Configuration</tt>.
+ Die Angabe erfolgt relativ zur verwendeten MOA-ID
+ Konfigurationsdatei. Beispiel f&uuml;r das Element
+ <tt>configFileURL</tt>: &quot;oa/SampleOAConfiguration.xml&quot;.<br />
+ Defaultm&auml;&szlig;ig wird versucht die Datei
+ von der betreffenden OnlineApplikation unter dem
+ Wert: <tt>http://&lt;realURLPrefix&gt;/MOAConfig.xml</tt>
+ zu laden.<br/>
+ (<tt>&lt;realURLPrefix&gt;</tt> entspricht dem
+ Wert von <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>)
+ <br />
+ <br />
+ Das optionale Attribut <tt>sessionTimeOut</tt>
+ legt das Timeout einer Benutzersession in der
+ Proxykomponente in Sekunden fest.<br />
+ Default-Wert: 3600 <br />
+ <br />
+ Im optionalen Attribut <tt>loginParameterResolverImpl</tt>
+ kann der Klassenname eines zu verwendenden <tt>LoginParameterResolver</tt>
+ angegeben werden, welcher die Defaultimplementierung
+ ersetzt. <br />
+ </p>
+ <p id="block">Im optionelen Attribut <tt>loginParameterResolverConfiguration
+ </tt>kann ein Configurationsstring f&uuml;r die
+ Initialisierung der betreffenden <tt>loginParameterResolverImpl</tt>
+ angegeben werden.<br>
+ <br />
+ Im optionalen Attribut <tt>connectionBuilderImpl</tt>
+ kann der Klassenname eines zu verwendenden ConnectionBuilder
+ angegeben werden, welcher die Defaultimplementierung
+ ersetzt. <br />
+ <br />
+ Im Kind-Element <tt>ConnectionParameter</tt> ist
+ konfiguriert, wie MOA-ID-PROXY zur Online-Applikation
+ verbindet. </p>
+ <div id="ChainingModes" />
+ <p id="block"> <b>ChainingModes</b><br />
+ Das Element <tt>ChainingModes</tt> definiert,
+ ob bei der Zertifikatspfad-&uuml;berpr&uuml;fung
+ das Kettenmodell (<tt>"chaining"</tt>) oder
+ das Modell nach PKIX RFC 3280 (<tt>"pkix"</tt>)
+ verwendet werden soll. <br />
+ <br />
+ Das Attribut <tt>systemDefaultMode</tt> spezifiziert
+ das Modell, das im Standardfall verwendet werden
+ soll. <br/>
+ <br/>
+ Mit dem Kind-Element <tt>TrustAnchor</tt> kann
+ f&uuml;r jeden Trust Anchor ein abweichendes
+ Modell spezifiziert werden. Ein Trust Anchor
+ ist ein Zertifikat, das in <tt>TrustedCACertificates</tt>
+ spezifiziert ist. Ein Trust Anchor wird durch
+ den Typ <tt>&lt;dsig:X509IssuerSerialType&gt;</tt>
+ spezifiziert. Das f&uuml;r diesen Trust Anchor
+ g&uuml;ltige Modell wird durch das Attribut
+ <tt>mode</tt> spezifiziert. <br/>
+ <br/>
+ G&uuml;ltige Werte f&uuml;r die Attribute <tt>systemDefaultMode</tt>
+ und <tt>mode</tt> sind <tt>"chaining"</tt> und
+ <tt>"pkix"</tt>. <br/>
+ <br/>
+ <a href="examples/ChainingModes.txt">Beispiel</a>
+ </p>
+ <div id="TrustedCACertificates" />
+ <p id="block"> <b>TrustedCACertificates</b><br />
+ Das Element <tt>TrustedCACertificates</tt>
+ enth&auml;lt das Verzeichnis (relativ zur
+ MOA-ID Konfigurationsdatei), das jene Zertifikate
+ enth&auml;lt, die als vertrauensw&uuml;rdig
+ betrachtet werden. Im Zuge der &Uuml;berpr&uuml;fung
+ der TLS-Serverzertifikate wird die Zertifikatspfaderstellung
+ an einem dieser Zertifikate beendet. </p>
+ <div id="GenericConfiguration" />
+ <p id="block"> <b>GenericConfiguration</b><br />
+ Das Element <tt>GenericConfiguration</tt>
+ erm&ouml;glicht das Setzen von Namen-Werte
+ Paaren mittels der Attribute <tt>name</tt>
+ und <tt>value</tt>. Die folgende Liste spezifiziert
+ <ul>
+ <li>g&uuml;ltige Werte f&uuml;r das name-Attribut,
+ </li>
+ <li>eine Beschreibung </li>
+ <li>g&uuml;ltige Werte f&uuml;r das value-Attribut
+ und (falls vorhanden)</li>
+ <li>den Default-Wert f&uuml;r das value-Attribut.
+ </li>
+ </ul>
+ <table border="0" cellspacing="3" cellpadding="2">
+ <tr id="DirectoryCertStoreParameters.RootDir">
+ <th align="left">name: DirectoryCertStoreParameters.RootDir</th>
+ </tr>
+ <tr>
+ <td id="info"> Gibt den Pfadnamen zu einem
+ Verzeichnis an, das als Zertifikatsspeicher
+ im Zuge der TLS-Server-Zertifikats&uuml;berpr&uuml;fung
+ verwendet wird.<br />
+ <hr />
+ <b>value: </b><br />
+ G&uuml;ltige Werte: Name eines g&uuml;ltigen
+ Verzeichnisses (relativ zur MOA-ID Konfigurationsdatei)<br />
+ <b>Dieser Parameter muss angegeben werden.</b>
+ </td>
+ </tr>
+ </table>
+ <table border="0" cellspacing="3" cellpadding="2">
+ <tr id="AuthenticationSession.TimeOut">
+ <th align="left">name: AuthenticationSession.TimeOut</th>
+ </tr>
+ <tr>
+ <td id="info"> Gibt die Zeitspanne in
+ Sekunden vom Beginn der Authentisierung
+ bis zum Anlegen der Anmeldedaten an.
+ Wird die Angegebene Zeitspanne &uuml;berschritten
+ wird der Anmeldevorgang abgebrochen.
+ <br />
+ <hr />
+ <b>value: </b><br />
+ G&uuml;ltige Werte: positive Ganzzahlen
+ <br />
+ Default-Wert: 120 </td>
+ </tr>
+ </table>
+ <table border="0" cellspacing="3" cellpadding="2">
+ <tr id="AuthenticationData.TimeOut">
+ <th align="left">name: AuthenticationData.TimeOut</th>
+ </tr>
+ <tr>
+ <td id="info"> Gibt die Zeitspanne in
+ Sekunden an, f&uuml;r die die Anmeldedaten
+ in der Authentisierungskomponente zum
+ Abholen durch die Proxykomponente oder
+ eine nachfolgende Applikation bereitstehen.
+ Nach Ablauf dieser Zeitspanne werden
+ die Anmeldedaten gel&ouml;scht.<br />
+ <hr />
+ <b>value: </b><br />
+ G&uuml;ltige Werte: positive Ganzzahlen<br />
+ Default-Wert: 600 </td>
+ </tr>
+ </table>
+ <table border="0" cellspacing="3" cellpadding="2">
+ <tr id="TrustManager.RevocationChecking">
+ <th align="left">name: TrustManager.RevocationChecking</th>
+ </tr>
+ <tr>
+ <td id="info"> F&uuml;r die TLS-Server-Authentisierung
+ d&uuml;rfen nur Server-Zertifikate verwendet
+ werden, die eine CRLDP-Extension enthalten
+ (andernfalls kann von MOA-ID keine CRL-&uuml;berpr&uuml;fung
+ durchgef&uuml;hrt werden). <br />
+ Soll das RevocationChecking generell
+ ausgeschaltet werden, ist dieses Attribut
+ anzugeben und auf "false" zu setzen.
+ <br />
+ <hr />
+ <b>value: </b><br />
+ G&uuml;ltige Werte: true, false<br />
+ Default-Wert: true </td>
+ </tr>
+ </table>
+ <table border="0" cellspacing="3" cellpadding="2">
+ <tr id="TrustManager.RevocationChecking">
+ <th align="left">name: FrontendServlets.EnableHTTPConnection</th>
+ </tr>
+ <tr>
+ <td id="info">
+ <p>Standardm&auml;&szlig;ig k&ouml;nnen
+ die beiden Servlets &quot;StartAuthentication&quot;
+ und &quot;SelectBKU&quot; welche das
+ User-Frontend darstellen, aus Sicherheitsgr&uuml;nden,
+ nur &uuml;ber das Schema HTTPS aufgerufen
+ werden. </p>
+ <p>Wenn die beiden Servlets jedoch auch
+ Verbindungen nach dem Schema HTTP
+ entgegennehmen sollen, so kann mittels
+ dem Attribut &quot;EnableHTTPServletConnection&quot;
+ erlaubt werden.</p>
+ <p>Hinweis: Sicher und sinnvoll ist
+ das Erlauben der HTTP Verbindung nur
+ dann, wenn ein Vorgeschalteter Webserver
+ das HTTPS handling &uuml;bernimmt,
+ und eine Verbindung zu den Servlets
+ nur &uuml;ber diesen Webserver m&ouml;glich
+ ist.</p>
+ <hr />
+ <b>value: </b><br />
+ G&uuml;ltige Werte: true, false<br />
+ Default-Wert: false</td>
+ </tr>
+ </table>
+ <table border="0" cellspacing="3" cellpadding="2">
+ <tr id="TrustManager.RevocationChecking">
+ <th align="left"><a name="DataURLPrefix"></a>name:
+ FrontendServlets.DataURLPrefix</th>
+ </tr>
+ <tr>
+ <td id="info">
+ <p>Standardm&auml;&szlig;ig wird als
+ DataURL Prefix das URL Pr&auml;fix
+ unter dem die MOA-ID Servlets erreichbar
+ sind verwendet. Im Falle das sich
+ der MOA-ID Server hinter einer Firewall
+ befindet und die Requests von einem
+ vorgelagertem Webserver weitergereicht
+ werden, kann mit FrontendServlets.DataURLPrefix
+ ein alternatives URL Pr&auml;fix angegeben
+ werden. In diesem Fall muss der Webserver
+ so konfiguriert sein, dass er Request
+ auf diese URLs an den MOA-ID Server
+ weiterleitet.</p>
+ <hr />
+ <b>value: </b><br />
+ G&uuml;ltige Werte: URLs nach dem Schema
+ 'http://' und 'https://'<br />
+ Default-Wert: kein Default-Wert<br>
+ Beispiel: &lt;GenericConfiguration name=&quot;FrontendServlets.DataURLPrefix&quot;
+ value=&quot;https://&lt;your_webserver&gt;/moa-id-auth/&quot;/&gt;</td>
+ </tr>
+ </table>
+ </div>
+ </div>
+ </div>
+ </div>
+ </div>
+ </div>
+ </div>
+ </div>
+ </div>
+ </div>
+ </div>
+ </div>
+ </div>
+ </div>
+ </td>
+ </tr></table>
<br /><br />
@@ -476,7 +680,7 @@ Die <tt>&lt;login-url&gt;</tt> ergibt sich aus dem Parameter OA des <a href="id-
zusammen mit der Konfiguration von <tt>OnlineApplication/@publicURLPrefix</tt> und von <tt>OnlineApplication/ProxyComponent/ConnectionParameter/@URL</tt>.
<br/>Der Wert <tt>resolvedValue</tt> wird in MOA-ID-PROXY je nach Wert des Platzhalters eingesetzt.
</p>
-</div>
+</tt></tt></div><tt><tt>
<div id="BasicAuth" />
<p id="block">
<b>BasicAuth</b><br />
@@ -518,9 +722,9 @@ Die Header werden folgenderma&szlig;en in den Request an die Online-Applikation
Der Wert <tt>resolvedValue</tt> wird in der Proxykomponente je nach Wert des Platzhalters eingesetzt.
Etwaige Header aus dem urspr&uuml;nglichen Request an die Proxykomponente, die denselben Namen haben, m&uuml;ssen
&uuml;berschrieben werden.
-</p>
+<p></p>
</div>
-</td></tr></table>
+</tt></tt></td></tr></table>
<div id="sp-config" />
@@ -536,26 +740,23 @@ Etwaige Header aus dem urspr&uuml;nglichen Request an die Proxykomponente, die d
<p id="subtitel">Konfiguration von MOA-SP</p>
<div id="block">
-<p id="block">
-MOA-ID &uuml;berpr&uuml;ft die Signaturen der Personenbindung und des AUTH-Blocks mit dem <tt>VerifyXMLSignatureRequest</tt>
-von MOA-SP. Dazu muss MOA-SP wie unten beschreiben konfiguriert werden.
-<br /><br />
-Ein Auszug einer beispielhaften MOA-SP Konfigurationsdatei, die diese Konfigurationsparameter enth&auml;lt ist in
-<tt>$MOA_ID_INST_AUTH/conf/moa-spss/ SampleMOASPSSConfiguration.xml</tt> enthalten.
-
-</p>
-
-<div id="verifytransformsInfoProfile" />
-<p id="block">
-<b>VerifyTransformsInfoProfile</b><br />
-Der Request zum &uuml;berpr&uuml;fen der Signatur des AUTH-Blocks verwendet ein vordefiniertes VerifyTransformsInfoProfile.
-Die im Request verwendete Profil-ID wird in der MOA-ID Konfigurationsdatei
-im Element <tt>/MOA-IDConfiguration/ AuthComponent/MOA-SP/VerifyAuthBlock/ VerifyTransformsInfoProfileID</tt> definiert.
-Entsprechend muss am MOA-SP Server ein VerifyTransformsInfoProfile mit gleichlautender ID definiert werden. Die
-Profiledefinition selbst ist in der Auslieferung von MOA-ID in <tt>$MOA_ID_INST_AUTH/conf/moa-spss/profiles/MOAIDTransformAuthBlock.xml</tt>
-enthalten. Diese Profildefinition muss unver&auml;ndert &uuml;bernommen werden.
-</p>
-</div>
+ <p id="block"> MOA-ID &uuml;berpr&uuml;ft die Signaturen der Personenbindung und
+ des AUTH-Blocks mit dem <tt>VerifyXMLSignatureRequest</tt> von
+ MOA-SP. Dazu muss MOA-SP wie unten beschreiben konfiguriert werden.
+ <br />
+ <br />
+ <b>VerifyTransformsInfoProfile</b><br />
+ Der Request zum &uuml;berpr&uuml;fen der Signatur des AUTH-Blocks
+ verwendet ein vordefiniertes VerifyTransformsInfoProfile. Die
+ im Request verwendete Profil-ID wird in der MOA-ID Konfigurationsdatei
+ im Element <tt>/MOA-IDConfiguration/ AuthComponent/MOA-SP/VerifyAuthBlock/
+ VerifyTransformsInfoProfileID</tt> definiert. Entsprechend muss
+ am MOA-SP Server ein VerifyTransformsInfoProfile mit gleichlautender
+ ID definiert werden. Die Profiledefinition selbst ist in der Auslieferung
+ von MOA-ID in <tt>$MOA_ID_INST_AUTH/conf/moa-spss/profiles/MOAIDTransformAuthBlock.xml</tt>
+ enthalten. Diese Profildefinition muss unver&auml;ndert &uuml;bernommen
+ werden. </p>
+ <div id="verifytransformsInfoProfile" /></div>
<div id="trustProfile" />
<p id="block">
@@ -619,5 +820,5 @@ Im Falle einer fehlerhaften neuen Konfiguration wird die urspr&uuml;ngliche Konf
</div>
-</body>
+</div></div></div></body>
</html> \ No newline at end of file
diff --git a/id.server/doc/moa_id/id-admin_3.htm b/id.server/doc/moa_id/id-admin_3.htm
index 92d13aa6a..3a0bce74c 100644
--- a/id.server/doc/moa_id/id-admin_3.htm
+++ b/id.server/doc/moa_id/id-admin_3.htm
@@ -89,10 +89,24 @@ Damit Tomcat die Aufrufe, die von MS IIS mittels Jakarta mod_jk weiterleitet, en
<br /><br />
</div>
<div id="block">
-<b>Konfiguration von SSL</b><br />
-Die Dokumentation zum Einrichten von SSL auf dem MS IIS steht nach Installation des IIS unter http://localhost/iisHelp/ bzw. <a href="http://www.microsoft.com/windows2000/en/server/iis/default.asp" target="_new">online</a> zur Verf&uuml;gung.
-</div>
-</td></tr></table>
+ <p><b>Konfiguration von SSL</b><br />
+ Die Dokumentation zum Einrichten von SSL auf dem MS IIS steht nach
+ Installation des IIS unter http://localhost/iisHelp/ bzw. <a href="http://www.microsoft.com/windows2000/en/server/iis/default.asp" target="_new">online</a>
+ zur Verf&uuml;gung. </p>
+ <p><b><a name="Prefix"></a>Konfiguration des zu verwendenden DATA-URL
+ Pr&auml;fix</b><br>
+ Befindet sich der Rechner auf dem MOA-ID installiert wird hinter
+ einer Firewall welche zwar Zugriffe vom vorgelagerten Webserver
+ zul&auml;sst, nicht jedoch direkte Zugriffe (von den Rechnern von
+ MOA-ID Benutzern), so muss manuell in der Konfigurationsdatei von
+ MOA-ID ein s.g. DATA-URL Pr&auml;fix vergeben werden. An dieses
+ URL-Pr&auml;fix werden Daten von der verwendeten B&uuml;rgerkartenumgebung
+ gesendet. Details finden sie im Abschnitt <a href="./id-admin_2.htm#DataURLPrefix">Konfiguration</a>.
+ Requests an das DataURL-Pr&auml;fix&gt; m&uuml;ssen durch den Webserver
+ an https://&lt;moa-id-rechnername&gt;/moa-id-auth/ bzw. an http://&lt;moa-id-rechnername&gt;/moa-id-auth/
+ weitergeleitet werden.</p>
+ </div>
+</td></div></tr></table>
<br /><br />
@@ -120,8 +134,7 @@ oder f&uuml;r die Proxy-Komponente
<pre>
JkMount /* moaworker
</pre>
-
-<br /><br />
+ <br />
<b>Konfiguration von Tomcat</b><br />
Die Konfiguration von Tomcat ist analog wie im Abschnitt &uuml;ber den MS IIS durchzuf&uuml;hren.
<br /><br />
@@ -140,7 +153,11 @@ Weiters muss Jakarta mod_jk angewiesen werden, die SSL Schl&uuml;ssell&auml;nge
+ForwardURICompat
-ForwardDirectories
</pre>
-</div>
+ <p><b>Konfiguration des zu verwendenden DATA-URL Pr&auml;fix</b></p>
+ <p>siehe gleichnamige <a href="id-admin_3.htm#Prefix">&Uuml;berschrift
+ </a>in Abschnitt &quot;Konfiguration des Microsoft Internet Information
+ Server (optional)&quot;</p>
+ </div>
</td></tr></table>
<br /><br />
@@ -183,5 +200,5 @@ Um das Logging in die Datenbank Log4j bekannt zu machen, muss die Log4j-Konfigur
</div>
-</body>
+</div></div></body>
</html> \ No newline at end of file