From edc10681ce6d045d57d5dc7a544f3081f6eb41a7 Mon Sep 17 00:00:00 2001 From: rudolf Date: Fri, 19 Dec 2003 09:09:41 +0000 Subject: MOA-ID 1.1.1D01 git-svn-id: https://joinup.ec.europa.eu/svn/moa-idspss/trunk@82 d688527b-c9ab-4aba-bd8d-4036d912da1d --- id.server/doc/MOA-ID-Configuration-1.1.xsd | 1 + id.server/doc/moa-id.htm | 2 +- .../moa_id/examples/conf/MOA-ID-Configuration.xml | 73 +- id.server/doc/moa_id/examples/moa-id-env.sh.txt | 15 + id.server/doc/moa_id/examples/startTomcat.bat.txt | 26 + id.server/doc/moa_id/faqs.htm | 194 +++-- id.server/doc/moa_id/id-admin.htm | 125 ++-- id.server/doc/moa_id/id-admin_1.htm | 275 +++++-- id.server/doc/moa_id/id-admin_2.htm | 809 +++++++++++++-------- id.server/doc/moa_id/id-admin_3.htm | 33 +- 10 files changed, 1055 insertions(+), 498 deletions(-) create mode 100644 id.server/doc/moa_id/examples/moa-id-env.sh.txt create mode 100644 id.server/doc/moa_id/examples/startTomcat.bat.txt diff --git a/id.server/doc/MOA-ID-Configuration-1.1.xsd b/id.server/doc/MOA-ID-Configuration-1.1.xsd index 50c77a401..bb5021ed6 100644 --- a/id.server/doc/MOA-ID-Configuration-1.1.xsd +++ b/id.server/doc/MOA-ID-Configuration-1.1.xsd @@ -254,6 +254,7 @@ + diff --git a/id.server/doc/moa-id.htm b/id.server/doc/moa-id.htm index 74018a5ab..82e5adc19 100644 --- a/id.server/doc/moa-id.htm +++ b/id.server/doc/moa-id.htm @@ -1,6 +1,6 @@ - + diff --git a/id.server/doc/moa_id/examples/conf/MOA-ID-Configuration.xml b/id.server/doc/moa_id/examples/conf/MOA-ID-Configuration.xml index 6ce00228c..26898f754 100644 --- a/id.server/doc/moa_id/examples/conf/MOA-ID-Configuration.xml +++ b/id.server/doc/moa_id/examples/conf/MOA-ID-Configuration.xml @@ -1,54 +1,83 @@ - + - - + + + + + + - + - - file:/home/moa/id/jakarta-tomcat-4.1.18/conf/moa-id/certs/server-certs - file:/c:/ - + + + + + - TrustProfile1 + MOAIDBuergerkartePersonenbindung - TrustProfile1 - TransformsInfoProfile1MOAID + + MOAIDBuergerkarteAuthentisierungsDaten + + MOAIDTransformAuthBlock + - CN=Test Signaturdienst Personenbindung,OU=Zentrales Melderegister,O=Bundesministerium f\C3\BCr Inneres,C=AT + CN=zmr,OU=BMI-IV-2,O=BMI,C=AT + + - - http://www.altova.com - http://www.altova.com + + + - + + + - - - file:/home/moa/id/jakarta-tomcat-4.1.18/conf/moa-id/oa/server-certs/tomcat - URL:toClientKeystoreOA + + + + + + + + CN=A-Trust-nQual-0,OU=A-Trust-nQual-0,O=A-Trust,C=AT 536 - - + + + certs/ca-certs + + + + + + + + + + diff --git a/id.server/doc/moa_id/examples/moa-id-env.sh.txt b/id.server/doc/moa_id/examples/moa-id-env.sh.txt new file mode 100644 index 000000000..1ccca10c1 --- /dev/null +++ b/id.server/doc/moa_id/examples/moa-id-env.sh.txt @@ -0,0 +1,15 @@ +rem insert Tomcat 4.1.x home directory (no trailing path separator) +set CATALINA_HOME= + +CONFIG_OPT_SPSS=-Dmoa.spss.server.configuration=$CATALINA_HOME/conf/moa-spss/SampleMOASPSSConfiguration.xml +CONFIG_OPT_ID=-Dmoa.id.configuration=$CATALINA_HOME/conf/moa-id/SampleMOAIDConfiguration.xml + + +LOGGING_OPT=-Dlog4j.configuration=file:$CATALINA_HOME/conf/moa-id/log4j.properties +# TRUST_STORE_OPT=-Djavax.net.ssl.trustStore=truststore.jks +# TRUST_STORE_PASS_OPT=-Djavax.net.ssl.trustStorePassword=changeit +# TRUST_STORE_TYPE_OPT=-Djavax.net.ssl.trustStoreType=jks + +export CATALINA_OPTS="$CONFIG_OPT_SPSS $CONFIG_OPT_ID $LOGGING_OPT $TRUST_STORE_OPT $TRUST_STORE_PASS_OPT $TRUST_STORE_TYPE_OPT" +echo CATALINA_OPTS=$CATALINA_OPTS + diff --git a/id.server/doc/moa_id/examples/startTomcat.bat.txt b/id.server/doc/moa_id/examples/startTomcat.bat.txt new file mode 100644 index 000000000..29588120c --- /dev/null +++ b/id.server/doc/moa_id/examples/startTomcat.bat.txt @@ -0,0 +1,26 @@ +rem ---------------------------------------------------------------------------------------------- +rem Modify these entries according to your needs + +rem JDK home directory (no trailing path separator) +set JAVA_HOME= + +rem Tomcat 4.1.x home directory (no trailing path separator) +set CATALINA_HOME= + +rem ---------------------------------------------------------------------------------------------- + +set CONFIG_OPT_SPSS=-Dmoa.spss.server.configuration=%CATALINA_HOME%/conf/moa-spss/SampleMOASPSSConfiguration.xml +set CONFIG_OPT_ID=-Dmoa.id.configuration=%CATALINA_HOME%/conf/moa-id/SampleMOAIDConfiguration.xml +set LOGGING_OPT=-Dlog4j.configuration=file:%CATALINA_HOME%/conf/moa-id/log4j.properties + +set PARAMS_MOA=%CONFIG_OPT_SPSS% %CONFIG_OPT_ID% %LOGGING_OPT% + +rem set PARAM_TRUST_STORE=-Djavax.net.ssl.trustStore=truststore.jks +rem set PARAM_TRUST_STORE_PASS=-Djavax.net.ssl.trustStorePassword=changeit +rem set PARAM_TRUST_STORE_TYPE=-Djavax.net.ssl.trustStoreType=jks +rem set PARAMS_SSL=%PARAM_TRUST_STORE% %PARAM_TRUST_STORE_PASS% %PARAM_TRUST_STORE_TYPE% + +set CATALINA_OPTS=%PARAMS_MOA% %PARAMS_SSL% + +cd %CATALINA_HOME% +bin\catalina.bat start \ No newline at end of file diff --git a/id.server/doc/moa_id/faqs.htm b/id.server/doc/moa_id/faqs.htm index ed386e11e..bad7a90e3 100644 --- a/id.server/doc/moa_id/faqs.htm +++ b/id.server/doc/moa_id/faqs.htm @@ -48,57 +48,165 @@ Projekt moa 
- - - - -
-
FAQs

- -
- -
-
FAQs - Häufig gestellte Fragen
- -

Lokal installiertes MOA-ID und Microsoft Internet Explorer

-

-Aufgrund eines Fehlers in Microsofts Internet Explorer kann es beim Testen eines lokal installierten Tomcat mit den MOA-ID-Modulen zu Fehlern kommen, da ein Redirect von der Auth-Komponente zur Proxy-Komponente nicht ausgeführt wird. -

-

-Als Workaround empfiehlt es sich, zum lokalen Testen einen alternativen Browser wie Opera, Mozilla oder Netscape zu verwenden, da diese Probleme dort nicht auftreten. -

-
-

Lokale Proxy-Komponente und HTTPS

-

-Wenn die Proxy-Komponente lokal läuft und per TLS/SSL aufgerufen wird, kommt es zu einer Fehlermeldung. -

-

-Workaround: Wenn in der Konfiguration statt 'localhost' der eigene Rechnername verwendet wird, funktioniert die Proxy-Komponente wie gewohnt.
-Zum Herausfinden des Rechnernamens wechselt man unter Windows auf die Kommandozeile und kann mittels 'ipconfig /all' den Rechnernamen herausfinden. -Unix/Linux-Anwender sehen bspw. mittels 'cat' in der Datei /etc/hosts nach, der Texteintrag hinter der eigenen IP-Adresse spezifiziert den Rechnernamen. -

-
-

Tomcat und starke Verschlüsselung (>100 Bit)

-

-Serverseitig kann keine starke Verschlüsselung (seitens Tomcat) erzwungen werden. -

-

-Als Workaround empfiehlt es sich, einen Web-Server wie Apache oder den Microsoft Internet-Information-Server für das SSL-Handling vorzuschalten und dort in der jeweiligen Konfiguration starke Verschlüsselung zu erzwingen. -

-
-
+ + +
FAQs - Häufig gestellte Fragen
+

Frage 1 + Mit dem Internet Explorer kommt es bei einer Anmeldung an der lokal + installierten Version von MOA-ID zu Fehlern beim Redirect. Warum?

+

Frage 2 + Wenn die Proxy-Komponente lokal läuft und per TLS/SSL aufgerufen + wird, kommt es zu einer Fehlermeldung. Wie kann dies verhindert werden?

+

Frage 3 + Es soll serverseitig lediglich starke TLS/SSL Verschlüsselung (>100 + Bit) unterstützt werden. Wie kann dies erzwungen werden?

+

Frage 4 Beim Starten von + MOA ID bzw. MOA SPSS tritt folgende Exception auf: java.lang.ClassCastException: + iaik.asn1.structures.Name. Was kann der Fehler sein?

+

Frage 5 Ich möchte + MOA in einer Umgebung betreiben, die einen Internet-Zugang nur über + einen Proxy erlaubt. Funktioniert das?

+

Frage 6 Tomcat: Wärend + des Betriebs kommt es zu org.apache.commons.logging.LogConfigurationException. + Wie kann dies verhindert werden?

+
+

+

Frage 1

+

Q: Mit dem Internet Explorer kommt es bei einer Anmeldung + an der lokal installierten Version von MOA-ID zu Fehlern beim Redirect. + Warum?

+

A: Aufgrund eines Fehlers in Microsofts Internet + Explorer schlägt der (lokale) Redirect auf dem lokal installierten + Tomcat fehl.

+

Als Workaround empfiehlt es sich, zum lokalen Testen einen + alternativen Browser wie Opera, + Mozilla oder Netscape + zu verwenden, da diese Probleme dort nicht auftreten. Von einem anderen + Rechner aus kann jedoch die Anmeldung an MOA-ID auch mit dem Internet + Explorer erfolgen.

+
+

Frage 2

+

Q: Wenn die Proxy-Komponente lokal läuft und + per TLS/SSL aufgerufen wird, kommt es zu einer Fehlermeldung. Wie kann + dies verhindert werden?

+

A: Wenn in der Konfiguration statt 'localhost' der + eigene Rechnername verwendet wird, funktioniert die Proxy-Komponente + wie gewohnt.
+
+ Zum Herausfinden des Rechnernamens wechselt man unter Windows auf die + Kommandozeile und kann mittels 'ipconfig /all' den Rechnernamen herausfinden. + Unix/Linux-Anwender sehen bspw. mittels 'cat' in der Datei /etc/hosts + nach, der Texteintrag hinter der eigenen IP-Adresse spezifiziert den + Rechnernamen.

+
+

Frage 3

+

Q: Es soll serverseitig lediglich starke TLS/SSL + Verschlüsselung (>100 Bit) unterstützt werden. Wie kann + dies erzwungen werden?

+

A: Tomcat bietet (bis dato) keine einfache Möglichkeit + die serverseitig verwendeten TLS/SSL Verschlüsselungsalgorithmen + zu konfigurieren. Daher empfiehlt es sich in diesem Fall, einen Web-Server + wie Apache oder den Microsoft Internet-Information-Server für das + SSL-Handling vorzuschalten und dort in der jeweiligen Konfiguration + starke Verschlüsselung zu erzwingen.

+
+ +

Frage 4

+ Q:
Beim Starten von MOA SPSS tritt folgende Exception auf: java.lang.ClassCastException: + iaik.asn1.structures.Name. Was kann der Fehler sein? +

A: Auf Grund einer mangelhaften Implementierung + in einigen Versionen des JDK 1.3.1 kann es beim Betrieb von MOA zu folgendem + Problem kommen: Sun macht in der Implementierung von PKCS7.getCertificate() + einen Downcast vom Interface java.security.Principal auf die eigene + Implementierung, was zu einer ClassCastException führt, wenn der JCE-Provider + von Sun nicht an erster Stelle in der List der Security-Provider installiert + ist. MOA geht nun aber so vor, dass der JCE-Provider des IAIK an die + erste Stelle installiert wird, wenn er zum Zeitpunkt der Konfiguration + noch nicht installiert war. Wird dann von irgendeinem ClassLoader der + jar-Verifier benützt, wird PKCS7.getCertificate() verwendet, und + es kommt zu einer ClassCastException.

+

Wird MOA über die API-Schnittstelle verwendet, ist ein + Workaround die manuelle Installation des IAIK-JCE-Providers nach dem + Sun JCE-Provider (etwa an die letzte Stelle), bevor die MOA-Konfiguration + aufgerufen wird. Bei Verwendung der Webservices ist die Möglichkeit + der statischen Konfiguration der JCE-Provider mittels Angabe in der + Datei $JAVA_HOME/jre/lib/security/java.security der einzige bekannte + Workaround. Hierzu müssen die Einträge +

+  security.provider.1=sun.security.provider.Sun
+  security.provider.2=com.sun.rsajca.Provider  
+
+ durch folgenden Eintrag ergänzt werden: +
+  security.provider.3=iaik.security.provider.IAIK
+
+

+ +
+

Frage 5

+
+

Q: Ich möchte MOA in einer Umgebung betreiben, + die einen Internet-Zugang nur über einen Proxy erlaubt. Funktioniert + das?

+

A: Ja, zumindest für Zugriffe über HTTP. + Sie müssen dazu die nachfolgenden JAVA System-Properties setzen:

+
+

http.proxyHost=<proxyhost>
+ http.proxyPort=<proxyport>
+ http.nonProxyHosts="<exceptionhosts>"

+
+

<proxyhost> gibt den Namen oder die IP-Adresse des + Proxies an.

+

<proxyport> gibt den Port des Proxies an.

+

<exceptionhosts> enthält eine Liste von Rechnernamen, + die nicht über den Proxy laufen sollen. Jedenfalls müssen + sie hier localhost angeben. Einzelne Namen sind durch eine + Pipe (|) zu trennen. Bitte beachten Sie, dass IP-Addressen + nicht angegeben werden dürfen, sowie die verpflichtend zu verwendenen + Anführungszeichen.

+
+
+

Frage 6

+

Q: Tomcat: Wärend des Betriebs kommt es zu org.apache.commons.logging.LogConfigurationException. + Wie kann dies verhindert werden?

+

org.apache.commons.logging.LogConfigurationException: org.apache.commons.logging.LogConfigurationException: + org.apache.commons.logging.LogConfigurationException
+ : Class org.apache.commons.logging.impl.Jdk14Logger does not implement + Log

+

A: $CATALINA_HOME\server\lib\tomcat-util.jar muss gegen eine + gepatchte Version ausgetauscht werden, da ein BUG in der Originalversion + von tomcat 4.1.27. Diese gepatchte Version ist in der MOA-ID Distribution + im Verzeichnis $MOA_ID_INST_AUTH\tomcat\tomcat-util-4.1.27-patched\ + zu finden.

+

 

+ + + +   +   + + - - +

-
+

+
+
© 2003

diff --git a/id.server/doc/moa_id/id-admin.htm b/id.server/doc/moa_id/id-admin.htm index 718f0cd03..fb545d560 100644 --- a/id.server/doc/moa_id/id-admin.htm +++ b/id.server/doc/moa_id/id-admin.htm @@ -111,10 +111,10 @@ Die Basis-Installation stellt einerseits die minimalen Anforderungen für de Folgende Software ist Voraussetzung für die Basis-Installation:
    -
  • JDK 1.3.1 oder JDK 1.4.1
  • -
  • Tomcat 4.1.18
  • -
  • MOA-ID-AUTH 1.0
  • -
  • MOA SP/SS 1.0 (entweder als WebService oder direkt als interne Bibliothek)
  • +
  • JDK 1.3.1, JDK 1.4.1 oder JDK 1.4.2
  • +
  • Tomcat 4.1.18 oder Tomcat 4.1.27 (*)
  • +
  • MOA-ID-AUTH 1.1
  • +
  • MOA SP/SS 1.1 oder neuer (entweder als WebService oder direkt als interne Bibliothek)
Um möglichen Versionskonflikten aus dem Weg zu gehen sollten stets die neuesten Versionen von MOA-ID als auch von MOA-SP/SS verwendet werden.
@@ -122,7 +122,7 @@ In diesem Betriebs-Szenario wird MOA-ID-AUTH in Tomcat deployt. Tomcat fungiert

Die Webapplikation verwendet Log4j als Logging Toolkit.
- +
@@ -144,7 +144,7 @@ MOA-ID-AUTH und MOA-ID-PROXY können in verschiedenen Konstellationen zum Ei
  • auf ein und demselben Rechner in verschiedenen Java Servlet Containern
  • auf ein und demselben Rechner in ein und demselben Java Servlet Container
  • -


    +
    Ausgehend von der Basis-Installation können die optionalen Konfigurationen, die in den nachfolgenden Abschnitten beschrieben werden, unabhängig und in beliebiger Kombination aufgesetzt werden.
    @@ -176,7 +176,7 @@ Den MOA ID Webapplikationen kann jeweils optional ein Webserver vorgeschaltet se

    Mittels mod_jk werden die Webservice-Aufrufe, die im vorgeschalteten Webserver eintreffen, an Tomcat weiter geleitet, bzw. die Antwort von Tomcat wieder an den Webserver zurück übermittelt. - +
    @@ -229,41 +229,84 @@ Die Versionsangaben beziehen sich auf die Versionen, mit denen die MOA ID Webapp


    - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
    KomponenteVersion
    JDK 1.3.1_07  
    JDK 1.4.1 
    Tomcat 4.1.18 
    MOA-ID-AUTH 1.0 
    MOA-ID-PROXY 1.0 
    MOA-SPSS 1.0 
    Apache Webserver 1.3.23  
    Microsoft Internet Information Server 5.0  
    mod_SSL (*) 
    Jakarta mod_jk 1.2.2 
    Jakarta Log4j 1.2.7 
    PostgreSQL 7.3 
    + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +
    KomponenteGetestete Version
    JDK (SDK) 1.3.1 (min. + 1.3.1_07) bzw.
    + 1.4.1
    bzw.
    + 1.4.2
    Tomcat +

    4.1.18 + bzw.
    + 4.1.27 + + Patch (*)

    +
    MOA-ID-AUTH 1.1
    MOA-ID-PROXY 1.1  +
    MOA-SPSS 1.2 
    Apache Webserver 1.3.23 + bzw.
    + 2.0.45
    Microsoft Internet Information Server + 5.0 +  
    mod_SSL (**)  +
    Jakarta mod_jk 1.2.2  +
    Jakarta Log4j 1.2.7  +
    PostgreSQL 7.3  +
    -

    +
    + (*) Aufgrund eines geringfügigen Mangels in Tomcat 4.1.27 + muss eine gepatchte Version von 'tomcat-util.jar' verwendet + werden. Diese gepatchte Version ist in der MOA-ID Distribution + enthalten.
    + Details: Tomcat-Bugzilla + Bug id=22701.
    +
    -
    -(*) passend zur Version des Apache Webservers -
    +
    (**) passend zur Version des Apache Webservers


    @@ -279,5 +322,5 @@ Die Versionsangaben beziehen sich auf die Versionen, mit denen die MOA ID Webapp - + \ No newline at end of file diff --git a/id.server/doc/moa_id/id-admin_1.htm b/id.server/doc/moa_id/id-admin_1.htm index f56338747..73d5e3ef9 100644 --- a/id.server/doc/moa_id/id-admin_1.htm +++ b/id.server/doc/moa_id/id-admin_1.htm @@ -67,7 +67,7 @@ Projekt moa 
    -

    +
    Installationsschritte:
    @@ -87,25 +87,59 @@ Unterschiede sind in der Installationsanweisung angeführt.

    Vorbereitung

    -Installation des JDK
    -Installieren Sie das JDK 1.3.1 oder JDK 1.4.1 in ein beliebiges Verzeichnis. Das Wurzelverzeichnis der JDK-Installation wird im weiteren Verlauf als $JAVA_HOME bezeichnet. -

    -Installation von Tomcat
    -Installieren Sie Tomcat in ein Verzeichnis, das keine Leerzeichen im Pfadnamen enthält. Das Wurzelverzeichnis der Tomcat-Installation wird im weiteren Verlauf als $CATALINA_HOME bezeichnet. Hinweis: Tomcat wird in einer Distribution für JDKs ab Version 1.2 und in einer Distribution speziell für JDK 1.4 ausgeliefert. Installieren Sie die zur Version Ihres JDK passende Tomcat-Version. -

    -Entpacken der MOA ID Webapplikation
    -Entpacken Sie die ausgelieferten Dateien der Webapplikation (moa-id-auth-x.y.zip oder moa-id-proxy-x.y.zip; ersetzen Sie x.y durch die Releasenummer von MOA-ID-AUTH bzw. MOA-ID-PROXY) in ein beliebiges Verzeichnis. Diese Verzeichnisse werden im weiteren Verlauf als $MOA_ID_INST_AUTH bzw. $MOA_ID_INST_PROXY bezeichnet. -

    -Installation der IAIK JCE, des IAIK LDAP Protocol Handlers und von JSSE (JDK 1.3.1)
    -Da Java in der Version 1.3.1 ohne Unterstützung für Kryptographie, LDAP und SSL ausgeliefert wird, müssen diese Funktionalitäten nachträglich installiert werden. Es stehen hierfür zwei Möglichkeiten zur Verfügung:
    -1. Installation innerhalb des JDK 1.3.1:
    -Die Dateien aus dem Verzeichnis $MOA_ID_INST_AUTH/ext13 (oder $MOA_ID_INST_PROXY/ext13) müssen in das Verzeichnis $JAVA_HOME/jre/lib/ext kopiert werden. Anschließend steht eine Unterstützung für Kryptographie und SSL jeder Java-Anwendung die dieses JDK verwendet zur Verfügung.
    -2. Installation ausschließlich für Applikationen innerhalb von Tomcat:
    -Um die o.g. Unterstützung nur Tomcat-Anwendungen zu ermöglichen, können die Dateien aus dem Verzeichnis $MOA_ID_INST_AUTH/ext13 (oder $MOA_ID_INST_PROXY/ext13) in ein beliebiges Verzeichnis kopiert werden. Im Folgenden wird dieses Verzeichnis $MOA_ID_EXT genannt. Anschließend muss der Tomcat-Klassenpfad angepasst werden:
    -Für Windows-Betriebssysteme ist dafür die Datei $CATALINA_HOME\bin\setclasspath.bat anzupassen:
    -Hinter 'set CLASSPATH=%JAVA_HOME%\lib\tools.jar' müssen nun jeweils mit Semikolon getrennt, die Dateien aus $MOA_ID_EXT inklusive der vollständigen Pfadangaben angefügt werden.
    -Anschließend sieht diese Zeile beispielsweise folgendermaßen aus: -
    +            

    Installation des JDK
    + Installieren Sie das JDK 1.3.1, JDK 1.4.1 oder JDK 1.4.2 in ein + beliebiges Verzeichnis. Das Wurzelverzeichnis der JDK-Installation + wird im weiteren Verlauf als $JAVA_HOME bezeichnet.
    +
    + Installation von Tomcat
    + Installieren Sie Tomcat in ein Verzeichnis, das keine Leer- und + Sonderzeichen im Pfadnamen enthält. Am Besten verwenden + die referenzierte Version von Tomcat im zip-Format. (Hinweis f. + Windows: nicht die selbstinstallierende exe Version verwenden.) + Das Wurzelverzeichnis der Tomcat-Installation wird im weiteren Verlauf + als $CATALINA_HOME bezeichnet.

    +

    Hinweis: Tomcat 4.1.18 wird in einer Distribution für + JDKs ab Version 1.2 und in einer Distribution speziell für + JDK 1.4 ausgeliefert. Installieren Sie die zur Version Ihres JDK + passende Tomcat-Version.

    +

    Hinweis: Wenn Sie Tomcat 4.1.27 einsetzen, so müssen + sie $CATALINA_HOME/server/lib/tomcat-util.jar durch die gepatchte + Version welche in der MOA-ID Distribution (*) enthalten ist ersetzen.
    +
    + Entpacken der MOA ID Webapplikation
    + Entpacken Sie die ausgelieferten Dateien der Webapplikation (moa-id-auth-x.y.zip + oder moa-id-proxy-x.y.zip; ersetzen Sie x.y durch die Releasenummer + von MOA-ID-AUTH bzw. MOA-ID-PROXY) in ein beliebiges Verzeichnis. + Diese Verzeichnisse werden im weiteren Verlauf als $MOA_ID_INST_AUTH + bzw. $MOA_ID_INST_PROXY bezeichnet.
    +
    + Installation der IAIK JCE, des IAIK LDAP Protocol Handlers und + von JSSE (JDK 1.3.1)
    + Da Java in der Version 1.3.1 ohne Unterstützung für Kryptographie, + LDAP und SSL ausgeliefert wird, müssen diese Funktionalitäten + nachträglich installiert werden. Es stehen hierfür zwei + Möglichkeiten zur Verfügung:
    + 1. Installation innerhalb des JDK 1.3.1:
    + Die Dateien aus dem Verzeichnis $MOA_ID_INST_AUTH/ext13 (oder $MOA_ID_INST_PROXY/ext13) + müssen in das Verzeichnis $JAVA_HOME/jre/lib/ext kopiert werden. + Anschließend steht eine Unterstützung für Kryptographie + und SSL jeder Java-Anwendung die dieses JDK verwendet zur Verfügung.
    + 2. Installation ausschließlich für Applikationen innerhalb + von Tomcat:
    + Um die o.g. Unterstützung nur Tomcat-Anwendungen zu ermöglichen, + können die Dateien aus dem Verzeichnis $MOA_ID_INST_AUTH/ext13 + (oder $MOA_ID_INST_PROXY/ext13) in ein beliebiges Verzeichnis kopiert + werden. Im Folgenden wird dieses Verzeichnis $MOA_ID_EXT genannt. + Anschließend muss der Tomcat-Klassenpfad angepasst werden:
    + Für Windows-Betriebssysteme ist dafür die Datei $CATALINA_HOME\bin\setclasspath.bat + anzupassen:
    + Hinter 'set CLASSPATH=%JAVA_HOME%\lib\tools.jar' müssen + nun jeweils mit Semikolon getrennt, die Dateien aus $MOA_ID_EXT + inklusive der vollständigen Pfadangaben angefügt werden.
    + Anschließend sieht diese Zeile beispielsweise folgendermaßen + aus:

    +
     	set CLASSPATH=%JAVA_HOME%\lib\tools.jar;
     		      $MOA_ID_EXT\iaik_jce_full.jar;
     		      $MOA_ID_EXT\iaik_ldap.jar;
    @@ -113,14 +147,29 @@ Anschließend sieht diese Zeile beispielsweise folgendermaßen aus:
     		      $MOA_ID_EXT\jnet.jar;
     		      $MOA_ID_EXT\jsse.jar 
     
    -($MOA_ID_EXT ist durch den tatsächlichen Pfad zu ersetzen)
    -Unix/Linux-Anwender verfahren analog mit der Datei $CATALINA_HOME/bin/setclasspath.sh wobei ';' durch ':' zu ersetzen ist.

    -Installation der IAIK JCE und des IAIK LDAP Protocol Handlers (JDK 1.4.1)
    -Die Dateien aus dem Verzeichnis $MOA_ID_INST_AUTH/ext14 (oder $MOA_ID_INST_PROXY/ext14) müssen in das Verzeichnis $JAVA_HOME/jre/lib/ext kopiert werden. Anschließend steht eine Unterstützung für Kryptographie und SSL jeder Java-Anwendung die dieses JDK verwendet zur Verfügung.
    -Zusätzlich müssen die so genannten "Unlimited Strength Jurisdiction Policy Files 1.4.1" heruntergeladen, entpackt und ins Verzeichnis $JAVA_HOME/jre/lib/security kopiert werden. Der Download für diese Dateien findet sich am unteren Ende der Download-Seite für das JDK 1.4.1 in der Sektion "Other Downloads". -
    +

    ($MOA_ID_EXT ist durch den tatsächlichen Pfad zu ersetzen)
    + Unix/Linux-Anwender verfahren analog mit der Datei $CATALINA_HOME/bin/setclasspath.sh + wobei ';' durch ':' zu ersetzen ist.
    +
    + Installation der IAIK JCE und des IAIK LDAP Protocol Handlers + (JDK 1.4.1 bzw. JDK 1.4.2)
    + Die Dateien aus dem Verzeichnis $MOA_ID_INST_AUTH/ext14 (oder $MOA_ID_INST_PROXY/ext14) + müssen in das Verzeichnis $JAVA_HOME/jre/lib/ext kopiert werden. + Anschließend steht eine Unterstützung für Kryptographie + und SSL jeder Java-Anwendung die dieses JDK verwendet zur Verfügung.
    +
    + Zusätzlich müssen die so genannten Unlimited Strength + Jurisdiction Policy Files 1.4.1 (bzw. 1.4.2) heruntergeladen, entpackt + und ins Verzeichnis $JAVA_HOME/jre/lib/security kopiert werden. +

    +

    Der Download für diese Dateien findet sich am unteren Ende + der Download-Seite des jeweiligen JDK 1.4.x in der Sektion "Other + Downloads". D.h. JDK + hier für 1.4.1 bzw. das JDK hier + für 1.4.2.

    +
    - +
    @@ -174,24 +223,49 @@ Um diese Benutzer-Rolle und einen oder mehrere Benutzer einzurichten, müsse

    Deployment von MOA-ID-AUTH in Tomcat

    Um MOA-ID-AUTH in Tomcat für den Ablauf vorzubereiten, sind folgende Schritte notwendig:
    -
      -
    • Die Datei $MOA_ID_INST_AUTH/moa-id-auth.war wird ins Verzeichnis $CATALINA_HOME/webapps kopiert. Dort wird sie beim ersten Start von Tomcat automatisch ins Verzeichnis $CATALINA_HOME/webapps/moa-id-auth entpackt.
    • -
    • Die MOA-ID Konfigurationsdatei und die zugehörigen Verzeichnisse "certs" und "transforms" werden in ein beliebiges Verzeichnis im Filesystem kopiert (z.B. $CATALINA_HOME/conf/moa-id).
      In $MOA_ID_INST_AUTH/conf/moa-id befindet sich eine funktionsfähige Konfiguration, die als Ausgangspunkt für die Konfiguration von MOA-ID-AUTH dienen kann.
    • -
    • Die endorsed Libraries für Tomcat müssen aus dem Verzeichnis $MOA_ID_INST_AUTH/endorsed in das Tomcat-Verzeichnis $CATALINA_HOME/common/endorsed kopieren werden. Folgende Libraries sind für das Deployment im endorsed Verzeichnis vorgesehen: -
        -
      • Xerces-J-2.0.2 (bestehend aus xercesImpl.jar und xmlParserAPIs.jar)
      • -
      -Eventuell vorhandene Dateien mit dem gleichen Namen müssen ersetzt werden. -
    • -
    • Folgende Java System Properties sind zu setzen:
      -
        -
      • moa.id.configuration=Name der MOA ID Konfigurationsdatei. Eine beispielhafte MOA ID Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/ SampleMOAIDConfiguration.xml enthalten.
      • -
      • log4j.configuration=URL der Log4j Konfigurationsdatei. Eine beispielhafte Log4j-Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/log4j.properties enthalten.
      • -
      • javax.net.ssl.trustStore=Name des Truststores für vertrauenswürdige SSL Client-Zertifikate (optional; nur, wenn SSL Client-Authentisierung durchgeführt werden soll).
      • -
      -Diese Java System-Properties werden Tomcat über die Umgebungsvariable CATALINA_OPTS mitgeteilt -(siehe Beispiele für Windows und für Linux). -
    +
      +
    • Die Datei $MOA_ID_INST_AUTH/moa-id-auth.war wird ins Verzeichnis + $CATALINA_HOME/webapps kopiert. Dort wird sie beim ersten Start + von Tomcat automatisch ins Verzeichnis $CATALINA_HOME/webapps/moa-id-auth + entpackt.
    • +
    • Die MOA-ID Konfigurationsdatei und die zugehörigen Verzeichnisse + "certs" und "transforms" werden in ein beliebiges Verzeichnis + im Filesystem kopiert (z.B. $CATALINA_HOME/conf/moa-id).
      + In $MOA_ID_INST_AUTH/conf/moa-id befindet sich eine funktionsfähige + Konfiguration, die als Ausgangspunkt für die Konfiguration + von MOA-ID-AUTH dienen kann.
    • +
    • Die endorsed Libraries für Tomcat müssen aus dem + Verzeichnis $MOA_ID_INST_AUTH/endorsed in das Tomcat-Verzeichnis + $CATALINA_HOME/common/endorsed kopieren werden. Folgende Libraries + sind für das Deployment im endorsed Verzeichnis vorgesehen: +
        +
      • Xerces-J-2.0.2 (bestehend aus xercesImpl.jar + und xmlParserAPIs.jar) - für alle JDKs.
        +
      • +
      • Nur im Fall von JDK 1.4.1: kopieren sie auch die Xalan-j-2.2 + Libraries ( bestehend aus bsf.jar und xalan.jar).
      • +
      + Eventuell vorhandene Dateien mit dem gleichen Namen müssen + ersetzt werden.
    • +
    • Folgende Java System Properties sind zu setzen:
      +
        +
      • moa.id.configuration=Name der MOA ID Konfigurationsdatei. + Eine beispielhafte MOA ID Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/ + SampleMOAIDConfiguration.xml enthalten.
      • +
      • log4j.configuration=URL der Log4j Konfigurationsdatei. + Eine beispielhafte Log4j-Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/log4j.properties + enthalten.
      • +
      • javax.net.ssl.trustStore=Name des Truststores + für vertrauenswürdige SSL Client-Zertifikate (optional; + nur, wenn SSL Client-Authentisierung durchgeführt werden + soll).
      • +
      + Diese Java System-Properties werden Tomcat über die Umgebungsvariable + CATALINA_OPTS mitgeteilt (Beispiel-Skripte zum Setzen dieser + Properties für Windows und für Unix bzw + Linux finden sie unter $MOA_ID_INST_AUTH/tomcat/win32 bzw. + $MOA_ID_INST_AUTH/tomcat/unix). +
    @@ -208,29 +282,62 @@ Diese Java System-Properties werden Tomcat über die Umgebungsvariable CATAL

    Deployment von MOA-ID-PROXY in Tomcat

    Um MOA-ID-PROXY in Tomcat für den Ablauf vorzubereiten, sind folgende Schritte notwendig:
    -
      -
    • Die Datei $MOA_ID_INST_PROXY/moa-id-proxy.war wird in ein beliebiges Verzeichnis (bspw. $CATALINA_HOME) kopiert. HINWEIS: Das Verzeichnis darf NICHT $CATALINA_HOME/webapps sein!
      - Anschliessend muss in der Datei $CATALINA_HOME/conf/server.xml der Tomcat-Root-Context auf diese Datei gesetzt werden: wenn das war-file sich in $CATALINA_HOME befindet, geschieht dies mit dem Einfügen von folgendem Element innerhalb von <Server>...<Service>...<Engine>...<Host>:
    • -
      <Context path="" docBase="../moa-id-proxy.war" debug="0"/>
      -Anmerkung: Der Root-Context von Tomcat ist normalerweise auskommentiert.

      -
    • Die MOA-ID Konfigurationsdatei und die zugehörigen Verzeichnisse "certs" und "oa" werden in ein beliebiges Verzeichnis im Filesystem kopiert (z.B. $CATALINA_HOME/ conf/moa-id).
      -In $MOA_ID_INST_PROXY/conf/moa-id befindet sich eine funktionsfähige Konfiguration, die als Ausgangspunkt für die Konfiguration von MOA-ID-PROXY dienen kann.
    • -
    • Die endorsed Libraries für Tomcat müssen aus dem Verzeichnis $MOA_ID_INST_PROXY/endorsed in das Tomcat-Verzeichnis $CATALINA_HOME/common/endorsed kopiert werden. Folgende Libraries sind für das Deployment im endorsed Verzeichnis vorgesehen: -
        -
      • Xerces-J-2.0.2 (bestehend aus xercesImpl.jar und xmlParserAPIs.jar)
      • -
      -Eventuell vorhandene Dateien mit dem gleichen Namen müssen ersetzt werden. -
    • -
    • Folgende Java System Properties sind zu setzen:
      -
        -
      • moa.id.configuration=Name der MOA ID Konfigurationsdatei. Eine beispielhafte MOA ID Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/ SampleMOAIDConfiguration.xml enthalten.
      • -
      • log4j.configuration=URL der Log4j Konfigurationsdatei. Eine beispielhafte Log4j-Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/log4j.properties enthalten.
      • -
      • javax.net.ssl.trustStore=Name des Truststores für vertrauenswürdige SSL Client-Zertifikate (optional; nur, wenn SSL Client-Authentisierung durchgeführt werden soll).
      • -
      -Diese Java System-Properties werden Tomcat über die Umgebungsvariable CATALINA_OPTS mitgeteilt -(siehe Beispiele für Windows und für Linux). -
    -
    +
      +
    • Die Datei $MOA_ID_INST_PROXY/moa-id-proxy.war wird in ein + beliebiges Verzeichnis (bspw. $CATALINA_HOME) kopiert. HINWEIS: + Das Verzeichnis darf NICHT $CATALINA_HOME/webapps sein!
      +
      + Anschliessend muss in der Datei $CATALINA_HOME/conf/server.xml + der Tomcat-Root-Context auf diese Datei gesetzt werden: wenn + das war-file sich in $CATALINA_HOME befindet, geschieht dies + mit dem Einfügen von folgendem Element innerhalb von + <Server>...<Service>...<Engine>...<Host>: +
    • +
      <Context path="" docBase="../moa-id-proxy.war" debug="0"/>
      + Anmerkung: Der Root-Context von Tomcat ist normalerweise auskommentiert. +
      +
      +
    • Die MOA-ID Konfigurationsdatei und die zugehörigen + Verzeichnisse "certs" und "oa" werden in ein beliebiges Verzeichnis + im Filesystem kopiert (z.B. $CATALINA_HOME/ conf/moa-id). +
      + In $MOA_ID_INST_PROXY/conf/moa-id befindet sich eine funktionsfähige + Konfiguration, die als Ausgangspunkt für die Konfiguration + von MOA-ID-PROXY dienen kann.
    • +
    • Die endorsed Libraries für Tomcat müssen aus dem + Verzeichnis $MOA_ID_INST_PROXY/endorsed in das Tomcat-Verzeichnis + $CATALINA_HOME/common/endorsed kopiert werden. Folgende Libraries + sind für das Deployment im endorsed Verzeichnis vorgesehen: +
        +
      • Xerces-J-2.0.2 (bestehend aus xercesImpl.jar + und xmlParserAPIs.jar)
      • +
      + Eventuell vorhandene Dateien mit dem gleichen Namen müssen + ersetzt werden.
    • +
    • Folgende Java System Properties sind zu setzen:
      +
        +
      • moa.id.configuration=Name der MOA ID Konfigurationsdatei. + Eine beispielhafte MOA ID Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/ + SampleMOAIDConfiguration.xml enthalten.
      • +
      • log4j.configuration=URL der Log4j Konfigurationsdatei. + Eine beispielhafte Log4j-Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/log4j.properties + enthalten.
      • +
      • javax.net.ssl.trustStore=Name des Truststores + für vertrauenswürdige SSL Client-Zertifikate + (optional; nur, wenn SSL Client-Authentisierung durchgeführt + werden soll).
      • +
      + Diese Java System-Properties werden Tomcat über die Umgebungsvariable + CATALINA_OPTS mitgeteilt (siehe Beispiele für Windows + und für Unix/Linux). +
      +
      + Beispiel-Skripts zum Setzen von CATALINA_OPTS und zum Starten + von Tomcat sind in $MOA_ID_INST_AUTH\tomcat\ zu finden - Sie + können diese für Ihre Zwecke adaptieren (JAVA_HOME + und $CATALINA_HOME setzen) und nach $CATALINA_HOME kopieren. +
    +
    @@ -243,10 +350,11 @@ Diese Java System-Properties werden Tomcat über die Umgebungsvariable CATAL

    Starten und Stoppen von Tomcat

    -
    -Nach dem Deployment und der Konfiguration kann Tomcat aus seinem Wurzelverzeichnis mit
    -
    -    bin\catalina start (unter Windows) oder 
    +                
    Nach dem Deployment und der Konfiguration kann + Tomcat aus seinem Wurzelverzeichnis ($CATALINA_HOME) mit
    +
    +    startTomcat (unter Windows) oder 
    +    moa-id-env.sh
         bin/catalina.sh start (unter Unix/Linux) 
     
    gestartet werden. Das Stoppen von Tomcat erfolgt analog mit
    @@ -293,7 +401,7 @@ FATAL | 03 13:19:06,924 | main | Fehler
    In diesem Fall geben die WARN bzw. ERROR Log-Meldungen unmittelbar davor Aufschluss über den genaueren Grund.
    - +
    @@ -376,11 +484,20 @@ Wenn nun versucht wird, eine Transaktion mit einer ungültigen SessionID fort (MOASessionID=-8650403497547200032)
    -In diesem Fall gibt der mitgeloggte Stacktrace Auskunft über die Art des Fehlers. Der Aufrufer der MOA ID Webapplikation bekommt einen Fehlercode sowie eine kurze Beschreibung des Fehlers als Antwort zurück. -

    -Die Tatsächlich übertragenen Anfragen bzw. Antworten werden aus Effizienzgründen nur im Log-Level DEBUG angezeigt. -
    - +

    In diesem Fall gibt der mitgeloggte Stacktrace Auskunft + über die Art des Fehlers. Der Aufrufer der MOA ID + Webapplikation bekommt einen Fehlercode sowie eine kurze + Beschreibung des Fehlers als Antwort zurück.
    +
    + Die Tatsächlich übertragenen Anfragen bzw. Antworten + werden aus Effizienzgründen nur im Log-Level DEBUG + angezeigt.

    +
    +

    (*) Die gepatchte Version von tomcat-util.jar ist im + Verzeichnis $MOA_ID_INST_AUTH\tomcat\tomcat-util-4.1.27-patched\ + zu finden.

    +
    +

    @@ -396,5 +513,5 @@ Die Tatsächlich übertragenen Anfragen bzw. Antworten werden aus Effizi - + \ No newline at end of file diff --git a/id.server/doc/moa_id/id-admin_2.htm b/id.server/doc/moa_id/id-admin_2.htm index b4e22a36b..3bf2a6892 100644 --- a/id.server/doc/moa_id/id-admin_2.htm +++ b/id.server/doc/moa_id/id-admin_2.htm @@ -110,286 +110,490 @@ Projekt moa  - -
    Konfiguration von MOA ID v.1.1
    - -
    -

    Konfiguration von MOA ID v.1.1

    -

    -Die Konfiguration von MOA ID wird mittels einer XML-basierten Konfigurationsdatei, die dem Schema -MOA-ID-Configuration-1.1.xsd entspricht, durchgeführt. -

    -Der Ort der Konfigurationsdatei wird im Abschnitt Deployment der Web-Applikation -in Tomcat beschrieben. -

    -Die folgenden Abschnitte erläutern das Format der Konfigurationsdatei. -MOA-ID-Configuration.xml zeigt ein Beispiel -für eine umfassende Konfigurationsdatei. -

    -Enthält die Konfigurationsdatei relative Pfadangaben, werden diese relativ zum Verzeichnis, in dem Tomcat gestartet wurde, interpretiert. - -
    -

    -ConnectionParameter
    -Das Element ConnectionParameter enthält Parameter, die MOA-ID für den Aufbau von Verbindungen zu anderen Komponenten -benötigt. Dieses Element tritt mehrfach in der Konfigurationsdatei auf und wird daher vorab detailliert beschrieben. -

    -Das Attribut URL enthält die URL der Komponente zu der die Verbindung aufgebaut werden soll. -Wird das Schema https verwendet, können die Kind-Elemente AcceptedServerCertificates -und ClientKeyStore angegeben werden. Wird das Schema http verwendet müssen keine Kind-Elemente -angegeben werden bzw. werden diese nicht ausgewertet. Andere Schemas werden nicht unterstützt. -

    -Wird die Verbindung über TLS aufgebaut und erfordert der TLS-Server eine Client-Authentisierung -mittels Zertifikate, dann muss das Kind-Element ClientKeyStore spezifiziert werden, und es muss -eine URL enthalten, die einen PKCS#12-Keystore mittels URL-Schema 'file:' referenziert. -Diesem Keystore wird der private Schlüssel für die TLS-Client-Authentisierung entnommen. -Das Passwort zum Lesen des privaten Schlüssels wird im Attribut ClientKeyStore/@password konfiguriert.
    -Aufgrund der Tatsache, dass starke Verschlüsselung eine Voraussetzung für MOA-ID darstellt, werden clientseitig nur die folgenden Cipher Suites unterstützt:
    -

      -
    • SSL_RSA_WITH_RC4_128_SHA
    • -
    • SSL_RSA_WITH_RC4_128_MD5
    • -
    • SSL_RSA_WITH_3DES_EDE_CBC_SHA
    • -
    -Im Kind-Element AcceptedServerCertificates kann ein Verzeichnisname angegeben werden, in dem die -akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. Dieses Verzeichnis wird mittels URL-Schema 'file:' referenziert. In diesem Verzeichnis werden nur Serverzertifikate -abgelegt. Fehlt dieser Parameter wird lediglich überprüft ob ein Zertifikatspfad zu den im Element <TrustedCACertificates> angegebenen Zertifikaten erstellt werden kann. Falls dies nicht möglich ist, kommt es zu einem Fehlerfall. -

    - - -
    -

    -AuthComponent
    -AuthComponent enthält Parameter, die nur die MOA-ID Authentisierungskomponente betreffen. -Das Element ist optional und muss nicht verwendet werden, wenn auf dem Server keine MOA-ID Authentisierungskomponente -installiert wird. -

    -Das Element AuthComponent hat vier Kind-Element: -

      -
    • BKUSelection (optional)
    • -
    • SecurityLayer
    • -
    • MOA-SP
    • -
    • IdentityLinkSigners
    • -
    -

    - -
    -

    -AuthComponent/BKUSelection
    -Das optionale Element BKUSelection enthält Parameter zur Nutzung eines Auswahldienstes für eine -Bürgerkartenumgebung (BKU). Wird das Element nicht angegeben, dann wird die lokale Bürgerkartenumgebung -auf http://localhost:3495/http-security-layer-request verwendet. -

    -Das Attribut BKUSelectionAlternative gibt an welche Alternative zur BKU-Auswahl verwendet werden soll. MOA-ID -unterstützt die Werte HTMLComplete (vollständige HTML-Auswahl) und HTMLSelect (HTML-Code für Auswahl) -["Auswahl von Bürgerkartenumge-bungen", Arno Hollosi]. -

    -Das Kind-Element ConnectionParameter spezifiziert die Verbindung zum Auswahldienst (siehe -ConnectionParameter), jedoch kann das Kind-Element ClientKeyStore -nicht angegeben werden. -

    - -
    -

    -AuthComponent/SecurityLayer
    -Das Element SecurityLayer enthält Parameter zur Nutzung des Security-Layers. -

    -Das Kind-Element TransformsInfo spezifiziert eine Transformation, die für die Erstellung der Signatur -des AUTH-Blocks als Parameter in den CreateXMLSignatureRequest des Security-Layers integriert werden muss. -Mehrere unterschiedliche Implementierungen des Security-Layer können durch die Angabe mehrerer TransformsInfo-Elemente unterstützt werden. -

    -Das Attribut TransformsInfo/@filename verweist auf eine Datei, die das globale Element TransformsInfo vom Typ -TransformsInfo enthält. Das Encoding dieser Datei muss (anders als im Beispiel) UTF-8 sein. -

    -Beispiel für eine TransformsInfo-Datei -

    - -
    -

    -AuthComponent/MOA-SP
    -Das Element MOA-SP enthält Parameter zur Nutzung von MOA-SP. MOA-SP wird für die überprüfung der Signatur -der Personenbindung und des AUTH-Blocks verwendet. -

    -Wird das Kind-Element ConnectionParameter angegeben, dann wird MOA-SP über das Webservice angesprochen, andernfalls -wird MOA-SP über das API angesprochen. -

    -Das Kind-Element VerifyIdentityLink/TrustProfileID spezifiziert eine TrustProfileID, die für den -VerifyXMLSignatureRequest zur überprüfung der Signatur der Personenbindung verwendet werden muss. -

    -Die Kind-Elemente VerifyAuthBlock/TrustProfileID und VerifyAuthBlock/VerifyTransformsInfoProfileID -spezifizieren eine TrustProfileID und eine ID für ein Transformationsprofil, die für den -VerifyXMLSignatureRequest zur überprüfung der Signatur des Auth-Blocks verwendet werden müssen. -

    - -
    -

    -AuthComponent/IdentityLinkSigners
    -Dieses Element gibt an von welchen Signatoren die Signatur des IdentityLink erstellt werden musste -damit der IdentityLink akzeptiert wird. Für jeden Signator muss der X509SubjectName nach RFC 2253 -spezifiziert werden. -

    -Beispiel -

    -

    - -
    -

    -ProxyComponent
    -ProxyComponent enthält Parameter, die nur die MOA-ID Proxykomponente betreffen. -Das Element ist optional und muss nicht verwendet werden, wenn auf dem Server keine MOA-ID Proxykomponente -installiert wird. -

    -Das Element ProxyComponent hat nur das Kind-Element AuthComponent, das die Verbindung zur -Authentisierungs-komponente beschreibt. -

    -Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente -über ein Webservice auf, dann muss das Element ConnectionParameter spezifiziert werden. -

    -Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente -über das API auf, dann wird das Element ConnectionParameter nicht spezifiziert. -

    - -
    -

    -OnlineApplication
    -Für jede Online-Applikation, die über MOA-ID authentisiert wird, gibt es ein Element OnlineApplication. -Die Parameter betreffen teils die MOA-ID Authentisierungskomponente, teils die MOA-ID Proxykomponente, teils beide. -

    -Das Attribut OnlineApplication/@publicURLPrefix entspricht dem URL-Präfix der nach außen sichtbaren -Domäne der Online-Applikation, welcher von der MOA-ID Proxykomponente durch den URL-Präfix der wirklichen -Domäne (Attribut OnlineApplication/ProxyComponent/ConnectionParameter/@URL) ersetzt wird. -Es dient als Schlüssel zum Auffinden der Konfigurationsparameter zur Online-Applikation. -

    -Das Element OnlineApplication hat optional zwei Kind-Elemente: AuthComponent und ProxyComponent. -

    - -
    -

    -OnlineApplication/AuthComponent
    -Das Element OnlineApplication/AuthComponent muss verwendet werden wenn auf dem Server die Authentisierungskomponente -installiert wird. Es enthält Parameter, die das Verhalten der Authentisierungskomponente bezüglich der Online-Applikation -konfiguriert. -

    -Das Attribut provideZMRZahl bestimmt, ob die ZMR-Zahl in den Anmeldedaten aufscheint. -Analog steuern die Attribute provideAUTHBlock und provideIdentityLink, ob die Anmeldedaten -den Auth-Block bzw. die Personenbindung enthalten. Alle Attribute sind optional und haben den Default-Wert false. -

    -

    - -
    -

    -OnlineApplication/ProxyComponent
    -Das Element OnlineApplication/ProxyComponent muss verwendet werden wenn auf dem Server die Proxykomponente -installiert wird. -

    -Das optionale Attribut configFileURL verweist auf eine Konfigurationsdatei die dem Schema -MOA-ID-Configuration-1.1.xsd entspricht mit Dokument-Element -Configuration.
    -Default-Wert: http://<realURLPrefix>/MOAConfig.xml -
    (<realURLPrefix> entspricht dem Wert von OnlineApplication/ProxyComponent/ConnectionParameter/@URL) -

    -Das optionale Attribut sessionTimeOut legt das Timeout einer Benutzersession in der -Proxykomponente in Sekunden fest.
    -Default-Wert: 3600 -

    -Im optionalen Attribut loginParameterResolverImpl kann der Klassenname eines -zu verwendenden LoginParameterResolver angegeben werden, welcher die Defaultimplementierung ersetzt. -

    -Im optionalen Attribut connectionBuilderImpl kann der Klassenname eines zu verwendenden -ConnectionBuilder angegeben werden, welcher die Defaultimplementierung ersetzt. -

    -Im Kind-Element ConnectionParameter ist konfiguriert, wie MOA-ID-PROXY zur Online-Applikation verbindet. -

    - -
    -

    -ChainingModes
    -Das Element ChainingModes definiert, ob bei der Zertifikatspfad-überprüfung das Kettenmodell -("chaining") oder das Modell nach PKIX RFC 3280 ("pkix") verwendet werden soll. -

    -Das Attribut systemDefaultMode spezifiziert das Modell, das im Standardfall verwendet werden soll. -

    -Mit dem Kind-Element TrustAnchor kann für jeden Trust Anchor ein abweichendes Modell spezifiziert werden. -Ein Trust Anchor ist ein Zertifikat, das in TrustedCACertificates spezifiziert ist. -Ein Trust Anchor wird durch den Typ <dsig:X509IssuerSerialType> spezifiziert. -Das für diesen Trust Anchor gültige Modell wird durch das Attribut mode spezifiziert. -

    -Gültige Werte für die Attribute systemDefaultMode und mode sind "chaining" und "pkix". -

    -Beispiel -

    - -
    -

    -TrustedCACertificates
    -Das Element TrustedCACertificates enthält eine URL, die auf ein Verzeichnis verweist, das jene Zertifikate -enthält, die als vertrauenswürdig betrachtet werden. Diese URL muss mittels URL-Schema 'file:' referenziert werden. Im Zuge der Überprüfung der TLS-Serverzertifikate wird die -Zertifikatspfaderstellung an einem dieser Zertifikate beendet. -

    - -
    -

    -GenericConfiguration
    -Das Element GenericConfiguration ermöglicht das Setzen von Namen-Werte Paaren mittels der Attribute -name und value. Die folgende Liste spezifiziert -

      -
    • gültige Werte für das name-Attribut,
    • -
    • eine Beschreibung
    • -
    • gültige Werte für das value-Attribut und (falls vorhanden)
    • -
    • den Default-Wert für das value-Attribut.
    • -
    - - - - -
    name: DirectoryCertStoreParameters.RootDir
    -Gibt den Pfadnamen zu einem Verzeichnis an, das als Zertifikatsspeicher im Zuge der TLS-Server-Zertifikatsüberprüfung -verwendet wird.
    -
    -value:
    -Gültige Werte: Name eines gültigen Verzeichnisses
    -Dieser Parameter muss angegeben werden. -
    - - - - -
    name: AuthenticationSession.TimeOut
    -Gibt die Zeitspanne in Sekunden vom Beginn der Authentisierung bis zum Anlegen der Anmeldedaten an. -Wird die Angegebene Zeitspanne überschritten wird der Anmeldevorgang abgebrochen. -
    -
    -value:
    -Gültige Werte: positive Ganzzahlen
    -Default-Wert: 120 -
    - - - - -
    name: AuthenticationData.TimeOut
    -Gibt die Zeitspanne in Sekunden an, für die die Anmeldedaten in der Authentisierungskomponente zum Abholen -durch die Proxykomponente oder eine nachfolgende Applikation bereitstehen. Nach Ablauf dieser Zeitspanne werden die Anmeldedaten gelöscht.
    -
    -value:
    -Gültige Werte: positive Ganzzahlen
    -Default-Wert: 600 -
    - - - - -
    name: TrustManager.RevocationChecking
    -Für die TLS-Server-Authentisierung dürfen nur Server-Zertifikate verwendet werden, die eine CRLDP-Extension enthalten (andernfalls kann von MOA-ID keine CRL-überprüfung durchgeführt werden). -
    Soll das RevocationChecking generell ausgeschaltet werden, ist dieses Attribut anzugeben und auf "false" zu setzen. -
    -
    -value:
    -Gültige Werte: true, false
    -Default-Wert: true -
    - - - + +
    Konfiguration von MOA ID v.1.1
    +
    +

    Konfiguration von MOA ID v.1.1

    +

    Die Konfiguration von MOA ID wird mittels einer XML-basierten + Konfigurationsdatei, die dem Schema MOA-ID-Configuration-1.1.xsd + entspricht, durchgeführt. +

    Der Ort der Konfigurationsdatei wird im Abschnitt Deployment + der Web-Applikation in Tomcat beschrieben. +

    Die folgenden Abschnitte erläutern das Format der Konfigurationsdatei. + MOA-ID-Configuration.xml + zeigt ein Beispiel für eine umfassende Konfigurationsdatei.

    +

    Enthält die Konfigurationsdatei relative Pfadangaben, werden + diese relativ zum Verzeichnis, in dem sich die MOA-ID Konfigurationsdatei + befindet, interpretiert.
    +

    +
    +

    ConnectionParameter
    + Das Element ConnectionParameter enthält Parameter, + die MOA-ID für den Aufbau von Verbindungen zu anderen Komponenten + benötigt. Dieses Element tritt mehrfach in der Konfigurationsdatei + auf und wird daher vorab detailliert beschrieben.
    +
    + Das Attribut URL enthält die URL der Komponente zu + der die Verbindung aufgebaut werden soll. Wird das Schema https + verwendet, können die Kind-Elemente AcceptedServerCertificates + und ClientKeyStore angegeben werden. Wird das Schema http + verwendet müssen keine Kind-Elemente angegeben werden bzw. + werden diese nicht ausgewertet. Andere Schemas werden nicht unterstützt. +
    +
    + Wird die Verbindung über TLS aufgebaut und erfordert der TLS-Server + eine Client-Authentisierung mittels Zertifikate, dann muss das Kind-Element + ClientKeyStore spezifiziert werden. Im Element ClientKeyStore + wird der Filename des PKCS#12-Keys (relativ zur MOA-ID Konfigurationsdatei) + angegeben. Diesem Keystore wird der private Schlüssel für + die TLS-Client-Authentisierung entnommen. Das Passwort zum Lesen + des privaten Schlüssels wird im Attribut ClientKeyStore/@password + konfiguriert.
    + Aufgrund der Tatsache, dass starke Verschlüsselung eine Voraussetzung + für MOA-ID darstellt, werden clientseitig nur die folgenden + Cipher Suites unterstützt:
    +

      +
    • SSL_RSA_WITH_RC4_128_SHA
    • +
    • SSL_RSA_WITH_RC4_128_MD5
    • +
    • SSL_RSA_WITH_3DES_EDE_CBC_SHA
    • +
    + Im Kind-Element AcceptedServerCertificates kann ein Verzeichnisname + (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem + die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In + diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser + Parameter wird lediglich überprüft ob ein Zertifikatspfad + zu den im Element <TrustedCACertificates> angegebenen + Zertifikaten erstellt werden kann. Falls dies nicht möglich ist, + kommt es zu einem Fehlerfall. +

    +
    +

    AuthComponent
    + AuthComponent enthält Parameter, die nur die MOA-ID + Authentisierungskomponente betreffen. Das Element ist optional + und muss nicht verwendet werden, wenn auf dem Server keine MOA-ID + Authentisierungskomponente installiert wird.
    +
    + Das Element AuthComponent hat vier Kind-Element: +

      +
    • BKUSelection (optional)
    • +
    • SecurityLayer
    • +
    • MOA-SP
    • +
    • IdentityLinkSigners
    • +
    +

    +
    +

    AuthComponent/BKUSelection
    + Das optionale Element BKUSelection enthält Parameter + zur Nutzung eines Auswahldienstes für eine Bürgerkartenumgebung + (BKU). Wird das Element nicht angegeben, dann wird die lokale + Bürgerkartenumgebung auf http://localhost:3495/http-security-layer-request + verwendet.
    +
    + Das Attribut BKUSelectionAlternative gibt an welche + Alternative zur BKU-Auswahl verwendet werden soll. MOA-ID unterstützt + die Werte HTMLComplete (vollständige HTML-Auswahl) + und HTMLSelect (HTML-Code für Auswahl) ["Auswahl + von Bürgerkartenumge-bungen", Arno Hollosi].
    +
    + Das Kind-Element ConnectionParameter spezifiziert die + Verbindung zum Auswahldienst (siehe ConnectionParameter), + jedoch kann das Kind-Element ClientKeyStore nicht angegeben + werden.

    +
    +

    AuthComponent/SecurityLayer
    + Das Element SecurityLayer enthält Parameter + zur Nutzung des Security-Layers.
    +
    + Das Kind-Element TransformsInfo spezifiziert eine + Transformation, die für die Erstellung der Signatur des + AUTH-Blocks als Parameter in den CreateXMLSignatureRequest + des Security-Layers integriert werden muss. Mehrere unterschiedliche + Implementierungen des Security-Layer können durch die + Angabe mehrerer TransformsInfo-Elemente unterstützt + werden.
    +
    + Das Attribut TransformsInfo/@filename verweist auf + eine Datei, die das globale Element TransformsInfo + vom Typ TransformsInfo enthält. Die Angabe erfolgt + relativ zur MOA-ID Konfigurationsdatei. Das Encoding dieser + Datei muss (anders als im Beispiel) UTF-8 sein.
    +
    + Beispiel für + eine TransformsInfo-Datei

    +
    +

    AuthComponent/MOA-SP
    + Das Element MOA-SP enthält Parameter zur Nutzung + von MOA-SP. MOA-SP wird für die überprüfung + der Signatur der Personenbindung und des AUTH-Blocks verwendet. +
    +
    + Wird das Kind-Element ConnectionParameter angegeben, + dann wird MOA-SP über das Webservice angesprochen.

    +

    Wird das Kind-Element ConnectionParameter + nicht angegeben so wird eine MOA-ID beiligende Version von + MOA-SP direkt über das Java-API angesprochen. In diesem + Fall muss das System-Property auf die verwendete Konfigurationsdatei + von MOA-SP gesetzt werden. Eine beispielhafte MOA-SP Konfigurationsdatei + ist in $MOA_ID_INST_AUTH/conf/moa-spss/SampleMOASPSSConfiguration.xml + enthalten.

    +
    +
    +
    +
    +
    +
    +
    +
    +
    +
    +
    +
    +
    +

    Hinweis: MOA-SP muss entsprechend konfiguriert + werden - siehe hierzu Abschnitt Konfiguration + von MOA-SP. Alle Details zur Konfiguration von MOA-SP + finden sie in der Distribution von MOA-SP/SS beiligenden + Dokumentation im Abschnitt 'Konfiguration'.
    +

    + Das Kind-Element VerifyIdentityLink/TrustProfileID + spezifiziert eine TrustProfileID, die für den VerifyXMLSignatureRequest + zur Überprüfung der Signatur der Personenbindung + verwendet werden muss. Diese TrustProfileID muss beim + verwendeten MOA-SP Modul konfiguriert sein.
    +
    + Die Kind-Elemente VerifyAuthBlock/TrustProfileID + und VerifyAuthBlock/VerifyTransformsInfoProfileID + spezifizieren eine TrustProfileID und eine ID für + ein Transformationsprofil, die für den VerifyXMLSignatureRequest + zur überprüfung der Signatur des Auth-Blocks + verwendet werden müssen. Diese TrustProfileID muss + beim verwendeten MOA-SP Modul konfiguriert sein.

    +
    +
    +
    +
    +
    +
    +
    +
    +
    +
    +
    +
    +
    +
    +

    AuthComponent/IdentityLinkSigners +
    + Dieses Element gibt an von welchen Signatoren die Signatur + des IdentityLink erstellt werden musste damit der IdentityLink + akzeptiert wird. Für jeden Signator muss der X509SubjectName + nach RFC 2253 spezifiziert werden.
    +
    + Beispiel +
    +
    +

    +
    +

    ProxyComponent
    + ProxyComponent enthält Parameter, die + nur die MOA-ID Proxykomponente betreffen. Das Element + ist optional und muss nicht verwendet werden, wenn auf + dem Server keine MOA-ID Proxykomponente installiert + wird.
    +
    + Das Element ProxyComponent hat nur das Kind-Element + AuthComponent, das die Verbindung zur Authentisierungs-komponente + beschreibt.
    +
    + Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente + über ein Webservice auf, dann muss das Element + ConnectionParameter spezifiziert werden.
    +
    + Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente + über das API auf, dann wird das Element ConnectionParameter + nicht spezifiziert.

    +
    +

    OnlineApplication
    + Für jede Online-Applikation, die über MOA-ID + authentisiert wird, gibt es ein Element OnlineApplication. + Die Parameter betreffen teils die MOA-ID Authentisierungskomponente, + teils die MOA-ID Proxykomponente, teils beide.
    +
    + Das Attribut OnlineApplication/@publicURLPrefix + entspricht dem URL-Präfix der nach außen + sichtbaren Domäne der Online-Applikation, welcher + von der MOA-ID Proxykomponente durch den URL-Präfix + der wirklichen Domäne (Attribut OnlineApplication/ProxyComponent/ConnectionParameter/@URL) + ersetzt wird. Es dient als Schlüssel zum Auffinden + der Konfigurationsparameter zur Online-Applikation. +
    +
    + Das Element OnlineApplication hat optional + zwei Kind-Elemente: AuthComponent und ProxyComponent. +

    +
    +

    OnlineApplication/AuthComponent +
    + Das Element OnlineApplication/AuthComponent + muss verwendet werden wenn auf dem Server die Authentisierungskomponente + installiert wird. Es enthält Parameter, die + das Verhalten der Authentisierungskomponente bezüglich + der Online-Applikation konfiguriert.
    +
    + Das Attribut provideZMRZahl bestimmt, ob + die ZMR-Zahl in den Anmeldedaten aufscheint. Analog + steuern die Attribute provideAUTHBlock + und provideIdentityLink, ob die Anmeldedaten + den Auth-Block bzw. die Personenbindung enthalten. + Alle Attribute sind optional und haben den Default-Wert + false.
    +
    +

    +
    +

    OnlineApplication/ProxyComponent +
    + Das Element OnlineApplication/ProxyComponent + muss verwendet werden wenn auf dem Server die + Proxykomponente installiert wird.
    +
    + Das optionale Attribut configFileURL + verweist auf eine Konfigurationsdatei die dem + Schema MOA-ID-Configuration-1.1.xsd + entspricht mit Dokument-Element Configuration. + Die Angabe erfolgt relativ zur verwendeten MOA-ID + Konfigurationsdatei. Beispiel für das Element + configFileURL: "oa/SampleOAConfiguration.xml".
    + Defaultmäßig wird versucht die Datei + von der betreffenden OnlineApplikation unter dem + Wert: http://<realURLPrefix>/MOAConfig.xml + zu laden.
    + (<realURLPrefix> entspricht dem + Wert von OnlineApplication/ProxyComponent/ConnectionParameter/@URL) +
    +
    + Das optionale Attribut sessionTimeOut + legt das Timeout einer Benutzersession in der + Proxykomponente in Sekunden fest.
    + Default-Wert: 3600
    +
    + Im optionalen Attribut loginParameterResolverImpl + kann der Klassenname eines zu verwendenden LoginParameterResolver + angegeben werden, welcher die Defaultimplementierung + ersetzt.
    +

    +

    Im optionelen Attribut loginParameterResolverConfiguration + kann ein Configurationsstring für die + Initialisierung der betreffenden loginParameterResolverImpl + angegeben werden.
    +
    + Im optionalen Attribut connectionBuilderImpl + kann der Klassenname eines zu verwendenden ConnectionBuilder + angegeben werden, welcher die Defaultimplementierung + ersetzt.
    +
    + Im Kind-Element ConnectionParameter ist + konfiguriert, wie MOA-ID-PROXY zur Online-Applikation + verbindet.

    +
    +

    ChainingModes
    + Das Element ChainingModes definiert, + ob bei der Zertifikatspfad-überprüfung + das Kettenmodell ("chaining") oder + das Modell nach PKIX RFC 3280 ("pkix") + verwendet werden soll.
    +
    + Das Attribut systemDefaultMode spezifiziert + das Modell, das im Standardfall verwendet werden + soll.
    +
    + Mit dem Kind-Element TrustAnchor kann + für jeden Trust Anchor ein abweichendes + Modell spezifiziert werden. Ein Trust Anchor + ist ein Zertifikat, das in TrustedCACertificates + spezifiziert ist. Ein Trust Anchor wird durch + den Typ <dsig:X509IssuerSerialType> + spezifiziert. Das für diesen Trust Anchor + gültige Modell wird durch das Attribut + mode spezifiziert.
    +
    + Gültige Werte für die Attribute systemDefaultMode + und mode sind "chaining" und + "pkix".
    +
    + Beispiel +

    +
    +

    TrustedCACertificates
    + Das Element TrustedCACertificates + enthält das Verzeichnis (relativ zur + MOA-ID Konfigurationsdatei), das jene Zertifikate + enthält, die als vertrauenswürdig + betrachtet werden. Im Zuge der Überprüfung + der TLS-Serverzertifikate wird die Zertifikatspfaderstellung + an einem dieser Zertifikate beendet.

    +
    +

    GenericConfiguration
    + Das Element GenericConfiguration + ermöglicht das Setzen von Namen-Werte + Paaren mittels der Attribute name + und value. Die folgende Liste spezifiziert +

      +
    • gültige Werte für das name-Attribut, +
    • +
    • eine Beschreibung
    • +
    • gültige Werte für das value-Attribut + und (falls vorhanden)
    • +
    • den Default-Wert für das value-Attribut. +
    • +
    + + + + + + + +
    name: DirectoryCertStoreParameters.RootDir
    Gibt den Pfadnamen zu einem + Verzeichnis an, das als Zertifikatsspeicher + im Zuge der TLS-Server-Zertifikatsüberprüfung + verwendet wird.
    +
    + value:
    + Gültige Werte: Name eines gültigen + Verzeichnisses (relativ zur MOA-ID Konfigurationsdatei)
    + Dieser Parameter muss angegeben werden. +
    + + + + + + + +
    name: AuthenticationSession.TimeOut
    Gibt die Zeitspanne in + Sekunden vom Beginn der Authentisierung + bis zum Anlegen der Anmeldedaten an. + Wird die Angegebene Zeitspanne überschritten + wird der Anmeldevorgang abgebrochen. +
    +
    + value:
    + Gültige Werte: positive Ganzzahlen +
    + Default-Wert: 120
    + + + + + + + +
    name: AuthenticationData.TimeOut
    Gibt die Zeitspanne in + Sekunden an, für die die Anmeldedaten + in der Authentisierungskomponente zum + Abholen durch die Proxykomponente oder + eine nachfolgende Applikation bereitstehen. + Nach Ablauf dieser Zeitspanne werden + die Anmeldedaten gelöscht.
    +
    + value:
    + Gültige Werte: positive Ganzzahlen
    + Default-Wert: 600
    + + + + + + + +
    name: TrustManager.RevocationChecking
    Für die TLS-Server-Authentisierung + dürfen nur Server-Zertifikate verwendet + werden, die eine CRLDP-Extension enthalten + (andernfalls kann von MOA-ID keine CRL-überprüfung + durchgeführt werden).
    + Soll das RevocationChecking generell + ausgeschaltet werden, ist dieses Attribut + anzugeben und auf "false" zu setzen. +
    +
    + value:
    + Gültige Werte: true, false
    + Default-Wert: true
    + + + + + + + +
    name: FrontendServlets.EnableHTTPConnection
    +

    Standardmäßig können + die beiden Servlets "StartAuthentication" + und "SelectBKU" welche das + User-Frontend darstellen, aus Sicherheitsgründen, + nur über das Schema HTTPS aufgerufen + werden.

    +

    Wenn die beiden Servlets jedoch auch + Verbindungen nach dem Schema HTTP + entgegennehmen sollen, so kann mittels + dem Attribut "EnableHTTPServletConnection" + erlaubt werden.

    +

    Hinweis: Sicher und sinnvoll ist + das Erlauben der HTTP Verbindung nur + dann, wenn ein Vorgeschalteter Webserver + das HTTPS handling übernimmt, + und eine Verbindung zu den Servlets + nur über diesen Webserver möglich + ist.

    +
    + value:
    + Gültige Werte: true, false
    + Default-Wert: false
    + + + + + + + +
    name: + FrontendServlets.DataURLPrefix
    +

    Standardmäßig wird als + DataURL Prefix das URL Präfix + unter dem die MOA-ID Servlets erreichbar + sind verwendet. Im Falle das sich + der MOA-ID Server hinter einer Firewall + befindet und die Requests von einem + vorgelagertem Webserver weitergereicht + werden, kann mit FrontendServlets.DataURLPrefix + ein alternatives URL Präfix angegeben + werden. In diesem Fall muss der Webserver + so konfiguriert sein, dass er Request + auf diese URLs an den MOA-ID Server + weiterleitet.

    +
    + value:
    + Gültige Werte: URLs nach dem Schema + 'http://' und 'https://'
    + Default-Wert: kein Default-Wert
    + Beispiel: <GenericConfiguration name="FrontendServlets.DataURLPrefix" + value="https://<your_webserver>/moa-id-auth/"/>
    +
    +
    +
    +
    +
    +
    +
    +
    +
    +
    +
    +
    +
    +
    + +

    @@ -476,7 +680,7 @@ Die <login-url> ergibt sich aus dem Parameter OA des

    BasicAuth
    @@ -518,9 +722,9 @@ Die Header werden folgendermaßen in den Request an die Online-Applikation Der Wert resolvedValue wird in der Proxykomponente je nach Wert des Platzhalters eingesetzt. Etwaige Header aus dem ursprünglichen Request an die Proxykomponente, die denselben Namen haben, müssen überschrieben werden. -

    +

    - +
    @@ -536,26 +740,23 @@ Etwaige Header aus dem ursprünglichen Request an die Proxykomponente, die d

    Konfiguration von MOA-SP

    -

    -MOA-ID überprüft die Signaturen der Personenbindung und des AUTH-Blocks mit dem VerifyXMLSignatureRequest -von MOA-SP. Dazu muss MOA-SP wie unten beschreiben konfiguriert werden. -

    -Ein Auszug einer beispielhaften MOA-SP Konfigurationsdatei, die diese Konfigurationsparameter enthält ist in -$MOA_ID_INST_AUTH/conf/moa-spss/ SampleMOASPSSConfiguration.xml enthalten. - -

    - -
    -

    -VerifyTransformsInfoProfile
    -Der Request zum überprüfen der Signatur des AUTH-Blocks verwendet ein vordefiniertes VerifyTransformsInfoProfile. -Die im Request verwendete Profil-ID wird in der MOA-ID Konfigurationsdatei -im Element /MOA-IDConfiguration/ AuthComponent/MOA-SP/VerifyAuthBlock/ VerifyTransformsInfoProfileID definiert. -Entsprechend muss am MOA-SP Server ein VerifyTransformsInfoProfile mit gleichlautender ID definiert werden. Die -Profiledefinition selbst ist in der Auslieferung von MOA-ID in $MOA_ID_INST_AUTH/conf/moa-spss/profiles/MOAIDTransformAuthBlock.xml -enthalten. Diese Profildefinition muss unverändert übernommen werden. -

    -
    +

    MOA-ID überprüft die Signaturen der Personenbindung und + des AUTH-Blocks mit dem VerifyXMLSignatureRequest von + MOA-SP. Dazu muss MOA-SP wie unten beschreiben konfiguriert werden. +
    +
    + VerifyTransformsInfoProfile
    + Der Request zum überprüfen der Signatur des AUTH-Blocks + verwendet ein vordefiniertes VerifyTransformsInfoProfile. Die + im Request verwendete Profil-ID wird in der MOA-ID Konfigurationsdatei + im Element /MOA-IDConfiguration/ AuthComponent/MOA-SP/VerifyAuthBlock/ + VerifyTransformsInfoProfileID definiert. Entsprechend muss + am MOA-SP Server ein VerifyTransformsInfoProfile mit gleichlautender + ID definiert werden. Die Profiledefinition selbst ist in der Auslieferung + von MOA-ID in $MOA_ID_INST_AUTH/conf/moa-spss/profiles/MOAIDTransformAuthBlock.xml + enthalten. Diese Profildefinition muss unverändert übernommen + werden.

    +

    @@ -619,5 +820,5 @@ Im Falle einer fehlerhaften neuen Konfiguration wird die ursprüngliche Konf

    - +
    \ No newline at end of file diff --git a/id.server/doc/moa_id/id-admin_3.htm b/id.server/doc/moa_id/id-admin_3.htm index 92d13aa6a..3a0bce74c 100644 --- a/id.server/doc/moa_id/id-admin_3.htm +++ b/id.server/doc/moa_id/id-admin_3.htm @@ -89,10 +89,24 @@ Damit Tomcat die Aufrufe, die von MS IIS mittels Jakarta mod_jk weiterleitet, en

    - +

    Konfiguration von SSL
    + Die Dokumentation zum Einrichten von SSL auf dem MS IIS steht nach + Installation des IIS unter http://localhost/iisHelp/ bzw. online + zur Verfügung.

    +

    Konfiguration des zu verwendenden DATA-URL + Präfix
    + Befindet sich der Rechner auf dem MOA-ID installiert wird hinter + einer Firewall welche zwar Zugriffe vom vorgelagerten Webserver + zulässt, nicht jedoch direkte Zugriffe (von den Rechnern von + MOA-ID Benutzern), so muss manuell in der Konfigurationsdatei von + MOA-ID ein s.g. DATA-URL Präfix vergeben werden. An dieses + URL-Präfix werden Daten von der verwendeten Bürgerkartenumgebung + gesendet. Details finden sie im Abschnitt Konfiguration. + Requests an das DataURL-Präfix> müssen durch den Webserver + an https://<moa-id-rechnername>/moa-id-auth/ bzw. an http://<moa-id-rechnername>/moa-id-auth/ + weitergeleitet werden.

    +
    +


    @@ -120,8 +134,7 @@ oder für die Proxy-Komponente
         JkMount /* moaworker
     
    - -

    +
    Konfiguration von Tomcat
    Die Konfiguration von Tomcat ist analog wie im Abschnitt über den MS IIS durchzuführen.

    @@ -140,7 +153,11 @@ Weiters muss Jakarta mod_jk angewiesen werden, die SSL Schlüssellänge +ForwardURICompat -ForwardDirectories -
    +

    Konfiguration des zu verwendenden DATA-URL Präfix

    +

    siehe gleichnamige Überschrift + in Abschnitt "Konfiguration des Microsoft Internet Information + Server (optional)"

    +


    @@ -183,5 +200,5 @@ Um das Logging in die Datenbank Log4j bekannt zu machen, muss die Log4j-Konfigur
    - +
    \ No newline at end of file -- cgit v1.2.3