+ +rem ---------------------------------------------------------------------------------------------- + +set CONFIG_OPT_SPSS=-Dmoa.spss.server.configuration=%CATALINA_HOME%/conf/moa-spss/SampleMOASPSSConfiguration.xml +set CONFIG_OPT_ID=-Dmoa.id.configuration=%CATALINA_HOME%/conf/moa-id/SampleMOAIDConfiguration.xml +set LOGGING_OPT=-Dlog4j.configuration=file:%CATALINA_HOME%/conf/moa-id/log4j.properties + +set PARAMS_MOA=%CONFIG_OPT_SPSS% %CONFIG_OPT_ID% %LOGGING_OPT% + +rem set PARAM_TRUST_STORE=-Djavax.net.ssl.trustStore=truststore.jks +rem set PARAM_TRUST_STORE_PASS=-Djavax.net.ssl.trustStorePassword=changeit +rem set PARAM_TRUST_STORE_TYPE=-Djavax.net.ssl.trustStoreType=jks +rem set PARAMS_SSL=%PARAM_TRUST_STORE% %PARAM_TRUST_STORE_PASS% %PARAM_TRUST_STORE_TYPE% + +set CATALINA_OPTS=%PARAMS_MOA% %PARAMS_SSL% + +cd %CATALINA_HOME% +bin\catalina.bat start \ No newline at end of file diff --git a/id.server/doc/moa_id/faqs.htm b/id.server/doc/moa_id/faqs.htm index ed386e11e..bad7a90e3 100644 --- a/id.server/doc/moa_id/faqs.htm +++ b/id.server/doc/moa_id/faqs.htm @@ -48,57 +48,165 @@ Projekt moa
- - - - -

FAQs

- Zur�ck

-
- -

FAQs - H�ufig gestellte Fragen

- -

Lokal installiertes MOA-ID und Microsoft Internet Explorer

-Aufgrund eines Fehlers in Microsofts Internet Explorer kann es beim Testen eines lokal installierten Tomcat mit den MOA-ID-Modulen zu Fehlern kommen, da ein Redirect von der Auth-Komponente zur Proxy-Komponente nicht ausgef�hrt wird. -

-Als Workaround empfiehlt es sich, zum lokalen Testen einen alternativen Browser wie Opera, Mozilla oder Netscape zu verwenden, da diese Probleme dort nicht auftreten. -

-
-

Lokale Proxy-Komponente und HTTPS

-Wenn die Proxy-Komponente lokal läuft und per TLS/SSL aufgerufen wird, kommt es zu einer Fehlermeldung. -

-Workaround: Wenn in der Konfiguration statt 'localhost' der eigene Rechnername verwendet wird, funktioniert die Proxy-Komponente wie gewohnt.
-Zum Herausfinden des Rechnernamens wechselt man unter Windows auf die Kommandozeile und kann mittels 'ipconfig /all' den Rechnernamen herausfinden. -Unix/Linux-Anwender sehen bspw. mittels 'cat' in der Datei /etc/hosts nach, der Texteintrag hinter der eigenen IP-Adresse spezifiziert den Rechnernamen. -

-
-

Tomcat und starke Verschlüsselung (>100 Bit)

-Serverseitig kann keine starke Verschlüsselung (seitens Tomcat) erzwungen werden. -

-Als Workaround empfiehlt es sich, einen Web-Server wie Apache oder den Microsoft Internet-Information-Server für das SSL-Handling vorzuschalten und dort in der jeweiligen Konfiguration starke Verschlüsselung zu erzwingen. -

-
-

+ + +

FAQs - H�ufig gestellte Fragen

Frage 1 + Mit dem Internet Explorer kommt es bei einer Anmeldung an der lokal + installierten Version von MOA-ID zu Fehlern beim Redirect. Warum?

Frage 2 + Wenn die Proxy-Komponente lokal läuft und per TLS/SSL aufgerufen + wird, kommt es zu einer Fehlermeldung. Wie kann dies verhindert werden?

Frage 3 + Es soll serverseitig lediglich starke TLS/SSL Verschlüsselung (>100 + Bit) unterstützt werden. Wie kann dies erzwungen werden?

Frage 4 Beim Starten von + MOA ID bzw. MOA SPSS tritt folgende Exception auf: java.lang.ClassCastException: + iaik.asn1.structures.Name. Was kann der Fehler sein?

Frage 5 Ich möchte + MOA in einer Umgebung betreiben, die einen Internet-Zugang nur über + einen Proxy erlaubt. Funktioniert das?

Frage 6 Tomcat: Wärend + des Betriebs kommt es zu org.apache.commons.logging.LogConfigurationException. + Wie kann dies verhindert werden?

Frage 1

Q: Mit dem Internet Explorer kommt es bei einer Anmeldung + an der lokal installierten Version von MOA-ID zu Fehlern beim Redirect. + Warum?

A: Aufgrund eines Fehlers in Microsofts Internet + Explorer schlägt der (lokale) Redirect auf dem lokal installierten + Tomcat fehl.

Als Workaround empfiehlt es sich, zum lokalen Testen einen + alternativen Browser wie Opera, + Mozilla oder Netscape + zu verwenden, da diese Probleme dort nicht auftreten. Von einem anderen + Rechner aus kann jedoch die Anmeldung an MOA-ID auch mit dem Internet + Explorer erfolgen.

Frage 2

Q: Wenn die Proxy-Komponente lokal läuft und + per TLS/SSL aufgerufen wird, kommt es zu einer Fehlermeldung. Wie kann + dies verhindert werden?

A: Wenn in der Konfiguration statt 'localhost' der + eigene Rechnername verwendet wird, funktioniert die Proxy-Komponente + wie gewohnt.
+
+ Zum Herausfinden des Rechnernamens wechselt man unter Windows auf die + Kommandozeile und kann mittels 'ipconfig /all' den Rechnernamen herausfinden. + Unix/Linux-Anwender sehen bspw. mittels 'cat' in der Datei /etc/hosts + nach, der Texteintrag hinter der eigenen IP-Adresse spezifiziert den + Rechnernamen.

Frage 3

Q: Es soll serverseitig lediglich starke TLS/SSL + Verschlüsselung (>100 Bit) unterstützt werden. Wie kann + dies erzwungen werden?

A: Tomcat bietet (bis dato) keine einfache Möglichkeit + die serverseitig verwendeten TLS/SSL Verschlüsselungsalgorithmen + zu konfigurieren. Daher empfiehlt es sich in diesem Fall, einen Web-Server + wie Apache oder den Microsoft Internet-Information-Server für das + SSL-Handling vorzuschalten und dort in der jeweiligen Konfiguration + starke Verschlüsselung zu erzwingen.

+ +
Frage 4
+ Q: Beim Starten von MOA SPSS tritt folgende Exception auf: java.lang.ClassCastException: + iaik.asn1.structures.Name. Was kann der Fehler sein? +

A: Auf Grund einer mangelhaften Implementierung + in einigen Versionen des JDK 1.3.1 kann es beim Betrieb von MOA zu folgendem + Problem kommen: Sun macht in der Implementierung von PKCS7.getCertificate() + einen Downcast vom Interface java.security.Principal auf die eigene + Implementierung, was zu einer ClassCastException f�hrt, wenn der JCE-Provider + von Sun nicht an erster Stelle in der List der Security-Provider installiert + ist. MOA geht nun aber so vor, dass der JCE-Provider des IAIK an die + erste Stelle installiert wird, wenn er zum Zeitpunkt der Konfiguration + noch nicht installiert war. Wird dann von irgendeinem ClassLoader der + jar-Verifier benützt, wird PKCS7.getCertificate() verwendet, und + es kommt zu einer ClassCastException.

Wird MOA �ber die API-Schnittstelle verwendet, ist ein + Workaround die manuelle Installation des IAIK-JCE-Providers nach dem + Sun JCE-Provider (etwa an die letzte Stelle), bevor die MOA-Konfiguration + aufgerufen wird. Bei Verwendung der Webservices ist die M�glichkeit + der statischen Konfiguration der JCE-Provider mittels Angabe in der + Datei $JAVA_HOME/jre/lib/security/java.security der einzige bekannte + Workaround. Hierzu m�ssen die Eintr�ge +

+  security.provider.1=sun.security.provider.Sun
+  security.provider.2=com.sun.rsajca.Provider  
+

+ durch folgenden Eintrag erg�nzt werden: +

+  security.provider.3=iaik.security.provider.IAIK
+

+ +

Frage 5

Q: Ich möchte MOA in einer Umgebung betreiben, + die einen Internet-Zugang nur über einen Proxy erlaubt. Funktioniert + das?

A: Ja, zumindest für Zugriffe über HTTP. + Sie müssen dazu die nachfolgenden JAVA System-Properties setzen:

+
http.proxyHost=<proxyhost> + http.proxyPort=<proxyport> + http.nonProxyHosts="<exceptionhosts>"
+

<proxyhost> gibt den Namen oder die IP-Adresse des + Proxies an.

<proxyport> gibt den Port des Proxies an.

<exceptionhosts> enthält eine Liste von Rechnernamen, + die nicht über den Proxy laufen sollen. Jedenfalls müssen + sie hier localhost angeben. Einzelne Namen sind durch eine + Pipe (|) zu trennen. Bitte beachten Sie, dass IP-Addressen + nicht angegeben werden dürfen, sowie die verpflichtend zu verwendenen + Anführungszeichen.

Frage 6

Q: Tomcat: Wärend des Betriebs kommt es zu org.apache.commons.logging.LogConfigurationException. + Wie kann dies verhindert werden?

org.apache.commons.logging.LogConfigurationException: org.apache.commons.logging.LogConfigurationException: + org.apache.commons.logging.LogConfigurationException
+ : Class org.apache.commons.logging.impl.Jdk14Logger does not implement + Log

A: $CATALINA_HOME\server\lib\tomcat-util.jar muss gegen eine + gepatchte Version ausgetauscht werden, da ein BUG in der Originalversion + von tomcat 4.1.27. Diese gepatchte Version ist in der MOA-ID Distribution + im Verzeichnis $MOA_ID_INST_AUTH\tomcat\tomcat-util-4.1.27-patched\ + zu finden.

+ + + + + + + - - +

diff --git a/id.server/doc/moa_id/id-admin.htm b/id.server/doc/moa_id/id-admin.htm index 718f0cd03..fb545d560 100644 --- a/id.server/doc/moa_id/id-admin.htm +++ b/id.server/doc/moa_id/id-admin.htm @@ -111,10 +111,10 @@ Die Basis-Installation stellt einerseits die minimalen Anforderungen für de Folgende Software ist Voraussetzung für die Basis-Installation:

JDK 1.3.1 oder JDK 1.4.1
Tomcat 4.1.18
MOA-ID-AUTH 1.0
MOA SP/SS 1.0 (entweder als WebService oder direkt als interne Bibliothek)
JDK 1.3.1, JDK 1.4.1 oder JDK 1.4.2
Tomcat 4.1.18 oder Tomcat 4.1.27 (*)
MOA-ID-AUTH 1.1
MOA SP/SS 1.1 oder neuer (entweder als WebService oder direkt als interne Bibliothek)

Um möglichen Versionskonflikten aus dem Weg zu gehen sollten stets die neuesten Versionen von MOA-ID als auch von MOA-SP/SS verwendet werden.
@@ -122,7 +122,7 @@ In diesem Betriebs-Szenario wird MOA-ID-AUTH in Tomcat deployt. Tomcat fungiert

Die Webapplikation verwendet Log4j als Logging Toolkit.

- +

@@ -144,7 +144,7 @@ MOA-ID-AUTH und MOA-ID-PROXY können in verschiedenen Konstellationen zum Ei

auf ein und demselben Rechner in verschiedenen Java Servlet Containern

auf ein und demselben Rechner in ein und demselben Java Servlet Container

-

+
Ausgehend von der Basis-Installation können die optionalen Konfigurationen, die in den nachfolgenden Abschnitten beschrieben werden, unabhängig und in beliebiger Kombination aufgesetzt werden.

@@ -176,7 +176,7 @@ Den MOA ID Webapplikationen kann jeweils optional ein Webserver vorgeschaltet se

Mittels mod_jk werden die Webservice-Aufrufe, die im vorgeschalteten Webserver eintreffen, an Tomcat weiter geleitet, bzw. die Antwort von Tomcat wieder an den Webserver zurück übermittelt. - +

@@ -229,41 +229,84 @@ Die Versionsangaben beziehen sich auf die Versionen, mit denen die MOA ID Webapp

- - - - - - - - - - - - - - - - - - - - - - - - - - - - -

Komponente	Version
JDK	1.3.1_07
JDK	1.4.1
Tomcat	4.1.18
MOA-ID-AUTH	1.0
MOA-ID-PROXY	1.0
MOA-SPSS	1.0
Apache Webserver	1.3.23
Microsoft Internet Information Server	5.0
mod_SSL	(*)
Jakarta mod_jk	1.2.2
Jakarta Log4j	1.2.7
PostgreSQL	7.3

+ + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + + +

Komponente	Getestete Version
JDK (SDK)	1.3.1 (min. + 1.3.1_07) bzw. + 1.4.1 bzw. + 1.4.2
Tomcat	+ 4.1.18 + bzw. + 4.1.27 + + Patch (*) +
MOA-ID-AUTH	1.1
MOA-ID-PROXY	1.1 +
MOA-SPSS	1.2
Apache Webserver	1.3.23 + bzw. + 2.0.45
Microsoft Internet Information Server +	5.0 +
mod_SSL	(**) +
Jakarta mod_jk	1.2.2 +
Jakarta Log4j	1.2.7 +
PostgreSQL	7.3 +

-

+
+ (*) Aufgrund eines geringfügigen Mangels in Tomcat 4.1.27 + muss eine gepatchte Version von 'tomcat-util.jar' verwendet + werden. Diese gepatchte Version ist in der MOA-ID Distribution + enthalten.
+ Details: Tomcat-Bugzilla + Bug id=22701.
+
-

-(*) passend zur Version des Apache Webservers -

(**) passend zur Version des Apache Webservers

@@ -279,5 +322,5 @@ Die Versionsangaben beziehen sich auf die Versionen, mit denen die MOA ID Webapp - + \ No newline at end of file diff --git a/id.server/doc/moa_id/id-admin_1.htm b/id.server/doc/moa_id/id-admin_1.htm index f56338747..73d5e3ef9 100644 --- a/id.server/doc/moa_id/id-admin_1.htm +++ b/id.server/doc/moa_id/id-admin_1.htm @@ -67,7 +67,7 @@ Projekt moa

Zurück

-

+

Installationsschritte:
@@ -87,25 +87,59 @@ Unterschiede sind in der Installationsanweisung angeführt.

Vorbereitung

-Installation des JDK
-Installieren Sie das JDK 1.3.1 oder JDK 1.4.1 in ein beliebiges Verzeichnis. Das Wurzelverzeichnis der JDK-Installation wird im weiteren Verlauf als $JAVA_HOME bezeichnet. -

-Installation von Tomcat
-Installieren Sie Tomcat in ein Verzeichnis, das keine Leerzeichen im Pfadnamen enthält. Das Wurzelverzeichnis der Tomcat-Installation wird im weiteren Verlauf als $CATALINA_HOME bezeichnet. Hinweis: Tomcat wird in einer Distribution für JDKs ab Version 1.2 und in einer Distribution speziell für JDK 1.4 ausgeliefert. Installieren Sie die zur Version Ihres JDK passende Tomcat-Version. -

-Entpacken der MOA ID Webapplikation
-Entpacken Sie die ausgelieferten Dateien der Webapplikation (moa-id-auth-x.y.zip oder moa-id-proxy-x.y.zip; ersetzen Sie x.y durch die Releasenummer von MOA-ID-AUTH bzw. MOA-ID-PROXY) in ein beliebiges Verzeichnis. Diese Verzeichnisse werden im weiteren Verlauf als $MOA_ID_INST_AUTH bzw. $MOA_ID_INST_PROXY bezeichnet. -

-Installation der IAIK JCE, des IAIK LDAP Protocol Handlers und von JSSE (JDK 1.3.1)
-Da Java in der Version 1.3.1 ohne Unterstützung für Kryptographie, LDAP und SSL ausgeliefert wird, müssen diese Funktionalitäten nachträglich installiert werden. Es stehen hierfür zwei Möglichkeiten zur Verfügung:
-1. Installation innerhalb des JDK 1.3.1:
-Die Dateien aus dem Verzeichnis $MOA_ID_INST_AUTH/ext13 (oder $MOA_ID_INST_PROXY/ext13) müssen in das Verzeichnis $JAVA_HOME/jre/lib/ext kopiert werden. Anschließend steht eine Unterstützung für Kryptographie und SSL jeder Java-Anwendung die dieses JDK verwendet zur Verfügung.
-2. Installation ausschließlich für Applikationen innerhalb von Tomcat:
-Um die o.g. Unterstützung nur Tomcat-Anwendungen zu ermöglichen, können die Dateien aus dem Verzeichnis $MOA_ID_INST_AUTH/ext13 (oder $MOA_ID_INST_PROXY/ext13) in ein beliebiges Verzeichnis kopiert werden. Im Folgenden wird dieses Verzeichnis $MOA_ID_EXT genannt. Anschließend muss der Tomcat-Klassenpfad angepasst werden:
-Für Windows-Betriebssysteme ist dafür die Datei $CATALINA_HOME\bin\setclasspath.bat anzupassen:
-Hinter 'set CLASSPATH=%JAVA_HOME%\lib\tools.jar' müssen nun jeweils mit Semikolon getrennt, die Dateien aus $MOA_ID_EXT inklusive der vollständigen Pfadangaben angefügt werden.
-Anschließend sieht diese Zeile beispielsweise folgendermaßen aus: -

+            Installation des JDK

+              Installieren Sie das JDK 1.3.1, JDK 1.4.1 oder JDK 1.4.2 in ein 
+              beliebiges Verzeichnis. Das Wurzelverzeichnis der JDK-Installation 
+              wird im weiteren Verlauf als $JAVA_HOME bezeichnet. 

+              

+              Installation von Tomcat

+              Installieren Sie Tomcat in ein Verzeichnis, das keine Leer- und 
+              Sonderzeichen im Pfadnamen enthält. Am Besten verwenden 
+              die referenzierte Version von Tomcat im zip-Format. (Hinweis f. 
+              Windows: nicht die selbstinstallierende exe Version verwenden.) 
+              Das Wurzelverzeichnis der Tomcat-Installation wird im weiteren Verlauf 
+              als $CATALINA_HOME bezeichnet. 
+            Hinweis: Tomcat 4.1.18 wird in einer Distribution für 
+              JDKs ab Version 1.2 und in einer Distribution speziell für 
+              JDK 1.4 ausgeliefert. Installieren Sie die zur Version Ihres JDK 
+              passende Tomcat-Version. 
+            Hinweis: Wenn Sie Tomcat 4.1.27 einsetzen, so müssen 
+              sie $CATALINA_HOME/server/lib/tomcat-util.jar durch die gepatchte 
+              Version welche in der MOA-ID Distribution (*) enthalten ist ersetzen.

+              

+              Entpacken der MOA ID Webapplikation

+              Entpacken Sie die ausgelieferten Dateien der Webapplikation (moa-id-auth-x.y.zip 
+              oder moa-id-proxy-x.y.zip; ersetzen Sie x.y durch die Releasenummer 
+              von MOA-ID-AUTH bzw. MOA-ID-PROXY) in ein beliebiges Verzeichnis. 
+              Diese Verzeichnisse werden im weiteren Verlauf als $MOA_ID_INST_AUTH 
+              bzw. $MOA_ID_INST_PROXY bezeichnet. 

+              

+              Installation der IAIK JCE, des IAIK LDAP Protocol Handlers und 
+              von JSSE (JDK 1.3.1)

+              Da Java in der Version 1.3.1 ohne Unterstützung für Kryptographie, 
+              LDAP und SSL ausgeliefert wird, müssen diese Funktionalitäten 
+              nachträglich installiert werden. Es stehen hierfür zwei 
+              Möglichkeiten zur Verfügung: 

+              1. Installation innerhalb des JDK 1.3.1:

+              Die Dateien aus dem Verzeichnis $MOA_ID_INST_AUTH/ext13 (oder $MOA_ID_INST_PROXY/ext13) 
+              müssen in das Verzeichnis $JAVA_HOME/jre/lib/ext kopiert werden. 
+              Anschließend steht eine Unterstützung für Kryptographie 
+              und SSL jeder Java-Anwendung die dieses JDK verwendet zur Verfügung.

+              2. Installation ausschließlich für Applikationen innerhalb 
+              von Tomcat:

+              Um die o.g. Unterstützung nur Tomcat-Anwendungen zu ermöglichen, 
+              können die Dateien aus dem Verzeichnis $MOA_ID_INST_AUTH/ext13 
+              (oder $MOA_ID_INST_PROXY/ext13) in ein beliebiges Verzeichnis kopiert 
+              werden. Im Folgenden wird dieses Verzeichnis $MOA_ID_EXT genannt. 
+              Anschließend muss der Tomcat-Klassenpfad angepasst werden:

+              Für Windows-Betriebssysteme ist dafür die Datei $CATALINA_HOME\bin\setclasspath.bat 
+              anzupassen:

+              Hinter 'set CLASSPATH=%JAVA_HOME%\lib\tools.jar' müssen 
+              nun jeweils mit Semikolon getrennt, die Dateien aus $MOA_ID_EXT 
+              inklusive der vollständigen Pfadangaben angefügt werden.

+              Anschließend sieht diese Zeile beispielsweise folgendermaßen 
+              aus: 
+             	set CLASSPATH=%JAVA_HOME%\lib\tools.jar;
 		      $MOA_ID_EXT\iaik_jce_full.jar;
 		      $MOA_ID_EXT\iaik_ldap.jar;
@@ -113,14 +147,29 @@ Anschließend sieht diese Zeile beispielsweise folgendermaßen aus:
 		      $MOA_ID_EXT\jnet.jar;
 		      $MOA_ID_EXT\jsse.jar 
 
-($MOA_ID_EXT ist durch den tatsächlichen Pfad zu ersetzen)

-Unix/Linux-Anwender verfahren analog mit der Datei $CATALINA_HOME/bin/setclasspath.sh wobei ';' durch ':' zu ersetzen ist.


-Installation der IAIK JCE und des IAIK LDAP Protocol Handlers (JDK 1.4.1)

-Die Dateien aus dem Verzeichnis $MOA_ID_INST_AUTH/ext14 (oder $MOA_ID_INST_PROXY/ext14) müssen in das Verzeichnis $JAVA_HOME/jre/lib/ext kopiert werden. Anschließend steht eine Unterstützung für Kryptographie und SSL jeder Java-Anwendung die dieses JDK verwendet zur Verfügung.

-Zusätzlich müssen die so genannten "Unlimited Strength Jurisdiction Policy Files 1.4.1" heruntergeladen, entpackt und ins Verzeichnis $JAVA_HOME/jre/lib/security kopiert werden. Der Download für diese Dateien findet sich am unteren Ende der Download-Seite für das JDK 1.4.1 in der Sektion "Other Downloads".
-

($MOA_ID_EXT ist durch den tatsächlichen Pfad zu ersetzen)
+ Unix/Linux-Anwender verfahren analog mit der Datei $CATALINA_HOME/bin/setclasspath.sh + wobei ';' durch ':' zu ersetzen ist.
+
+ Installation der IAIK JCE und des IAIK LDAP Protocol Handlers + (JDK 1.4.1 bzw. JDK 1.4.2)
+ Die Dateien aus dem Verzeichnis $MOA_ID_INST_AUTH/ext14 (oder $MOA_ID_INST_PROXY/ext14) + müssen in das Verzeichnis $JAVA_HOME/jre/lib/ext kopiert werden. + Anschließend steht eine Unterstützung für Kryptographie + und SSL jeder Java-Anwendung die dieses JDK verwendet zur Verfügung.
+
+ Zusätzlich müssen die so genannten Unlimited Strength + Jurisdiction Policy Files 1.4.1 (bzw. 1.4.2) heruntergeladen, entpackt + und ins Verzeichnis $JAVA_HOME/jre/lib/security kopiert werden. +

Der Download für diese Dateien findet sich am unteren Ende + der Download-Seite des jeweiligen JDK 1.4.x in der Sektion "Other + Downloads". D.h. JDK + hier für 1.4.1 bzw. das JDK hier + für 1.4.2.

- +

@@ -174,24 +223,49 @@ Um diese Benutzer-Rolle und einen oder mehrere Benutzer einzurichten, müsse

Deployment von MOA-ID-AUTH in Tomcat

Um MOA-ID-AUTH in Tomcat für den Ablauf vorzubereiten, sind folgende Schritte notwendig:
-

Die Datei $MOA_ID_INST_AUTH/moa-id-auth.war wird ins Verzeichnis $CATALINA_HOME/webapps kopiert. Dort wird sie beim ersten Start von Tomcat automatisch ins Verzeichnis $CATALINA_HOME/webapps/moa-id-auth entpackt.
Die MOA-ID Konfigurationsdatei und die zugehörigen Verzeichnisse "certs" und "transforms" werden in ein beliebiges Verzeichnis im Filesystem kopiert (z.B. $CATALINA_HOME/conf/moa-id).
In $MOA_ID_INST_AUTH/conf/moa-id befindet sich eine funktionsfähige Konfiguration, die als Ausgangspunkt für die Konfiguration von MOA-ID-AUTH dienen kann.
Die endorsed Libraries für Tomcat müssen aus dem Verzeichnis $MOA_ID_INST_AUTH/endorsed in das Tomcat-Verzeichnis $CATALINA_HOME/common/endorsed kopieren werden. Folgende Libraries sind für das Deployment im endorsed Verzeichnis vorgesehen: -
- Xerces-J-2.0.2 (bestehend aus xercesImpl.jar und xmlParserAPIs.jar)
-Eventuell vorhandene Dateien mit dem gleichen Namen müssen ersetzt werden. -
Folgende Java System Properties sind zu setzen:
-
- moa.id.configuration=Name der MOA ID Konfigurationsdatei. Eine beispielhafte MOA ID Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/ SampleMOAIDConfiguration.xml enthalten.
- log4j.configuration=URL der Log4j Konfigurationsdatei. Eine beispielhafte Log4j-Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/log4j.properties enthalten.
- javax.net.ssl.trustStore=Name des Truststores für vertrauenswürdige SSL Client-Zertifikate (optional; nur, wenn SSL Client-Authentisierung durchgeführt werden soll).
-Diese Java System-Properties werden Tomcat über die Umgebungsvariable CATALINA_OPTS mitgeteilt -(siehe Beispiele für Windows und für Linux). -

Die Datei $MOA_ID_INST_AUTH/moa-id-auth.war wird ins Verzeichnis + $CATALINA_HOME/webapps kopiert. Dort wird sie beim ersten Start + von Tomcat automatisch ins Verzeichnis $CATALINA_HOME/webapps/moa-id-auth + entpackt.
Die MOA-ID Konfigurationsdatei und die zugehörigen Verzeichnisse + "certs" und "transforms" werden in ein beliebiges Verzeichnis + im Filesystem kopiert (z.B. $CATALINA_HOME/conf/moa-id).
+ In $MOA_ID_INST_AUTH/conf/moa-id befindet sich eine funktionsfähige + Konfiguration, die als Ausgangspunkt für die Konfiguration + von MOA-ID-AUTH dienen kann.
Die endorsed Libraries für Tomcat müssen aus dem + Verzeichnis $MOA_ID_INST_AUTH/endorsed in das Tomcat-Verzeichnis + $CATALINA_HOME/common/endorsed kopieren werden. Folgende Libraries + sind für das Deployment im endorsed Verzeichnis vorgesehen: +
- Xerces-J-2.0.2 (bestehend aus xercesImpl.jar + und xmlParserAPIs.jar) - für alle JDKs.
  +
- Nur im Fall von JDK 1.4.1: kopieren sie auch die Xalan-j-2.2 + Libraries ( bestehend aus bsf.jar und xalan.jar).
+ Eventuell vorhandene Dateien mit dem gleichen Namen müssen + ersetzt werden.
Folgende Java System Properties sind zu setzen:
+
- moa.id.configuration=Name der MOA ID Konfigurationsdatei. + Eine beispielhafte MOA ID Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/ + SampleMOAIDConfiguration.xml enthalten.
- log4j.configuration=URL der Log4j Konfigurationsdatei. + Eine beispielhafte Log4j-Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/log4j.properties + enthalten.
- javax.net.ssl.trustStore=Name des Truststores + für vertrauenswürdige SSL Client-Zertifikate (optional; + nur, wenn SSL Client-Authentisierung durchgeführt werden + soll).
+ Diese Java System-Properties werden Tomcat über die Umgebungsvariable + CATALINA_OPTS mitgeteilt (Beispiel-Skripte zum Setzen dieser + Properties für Windows und für Unix bzw + Linux finden sie unter $MOA_ID_INST_AUTH/tomcat/win32 bzw. + $MOA_ID_INST_AUTH/tomcat/unix). +

@@ -208,29 +282,62 @@ Diese Java System-Properties werden Tomcat über die Umgebungsvariable CATAL

Deployment von MOA-ID-PROXY in Tomcat

Um MOA-ID-PROXY in Tomcat für den Ablauf vorzubereiten, sind folgende Schritte notwendig:
-

Die Datei $MOA_ID_INST_PROXY/moa-id-proxy.war wird in ein beliebiges Verzeichnis (bspw. $CATALINA_HOME) kopiert. HINWEIS: Das Verzeichnis darf NICHT $CATALINA_HOME/webapps sein!
- Anschliessend muss in der Datei $CATALINA_HOME/conf/server.xml der Tomcat-Root-Context auf diese Datei gesetzt werden: wenn das war-file sich in $CATALINA_HOME befindet, geschieht dies mit dem Einfügen von folgendem Element innerhalb von <Server>...<Service>...<Engine>...<Host>:

<Context path="" docBase="../moa-id-proxy.war" debug="0"/>

Die MOA-ID Konfigurationsdatei und die zugehörigen Verzeichnisse "certs" und "oa" werden in ein beliebiges Verzeichnis im Filesystem kopiert (z.B. $CATALINA_HOME/ conf/moa-id).
-In $MOA_ID_INST_PROXY/conf/moa-id befindet sich eine funktionsfähige Konfiguration, die als Ausgangspunkt für die Konfiguration von MOA-ID-PROXY dienen kann.
Die endorsed Libraries für Tomcat müssen aus dem Verzeichnis $MOA_ID_INST_PROXY/endorsed in das Tomcat-Verzeichnis $CATALINA_HOME/common/endorsed kopiert werden. Folgende Libraries sind für das Deployment im endorsed Verzeichnis vorgesehen: -
- Xerces-J-2.0.2 (bestehend aus xercesImpl.jar und xmlParserAPIs.jar)
-Eventuell vorhandene Dateien mit dem gleichen Namen müssen ersetzt werden. -
Folgende Java System Properties sind zu setzen:
-
- moa.id.configuration=Name der MOA ID Konfigurationsdatei. Eine beispielhafte MOA ID Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/ SampleMOAIDConfiguration.xml enthalten.
- log4j.configuration=URL der Log4j Konfigurationsdatei. Eine beispielhafte Log4j-Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/log4j.properties enthalten.
- javax.net.ssl.trustStore=Name des Truststores für vertrauenswürdige SSL Client-Zertifikate (optional; nur, wenn SSL Client-Authentisierung durchgeführt werden soll).
-Diese Java System-Properties werden Tomcat über die Umgebungsvariable CATALINA_OPTS mitgeteilt -(siehe Beispiele für Windows und für Linux). -

Die Datei $MOA_ID_INST_PROXY/moa-id-proxy.war wird in ein + beliebiges Verzeichnis (bspw. $CATALINA_HOME) kopiert. HINWEIS: + Das Verzeichnis darf NICHT $CATALINA_HOME/webapps sein!
+
+ Anschliessend muss in der Datei $CATALINA_HOME/conf/server.xml + der Tomcat-Root-Context auf diese Datei gesetzt werden: wenn + das war-file sich in $CATALINA_HOME befindet, geschieht dies + mit dem Einfügen von folgendem Element innerhalb von + <Server>...<Service>...<Engine>...<Host>: +

<Context path="" docBase="../moa-id-proxy.war" debug="0"/>

Die MOA-ID Konfigurationsdatei und die zugehörigen + Verzeichnisse "certs" und "oa" werden in ein beliebiges Verzeichnis + im Filesystem kopiert (z.B. $CATALINA_HOME/ conf/moa-id). +
+ In $MOA_ID_INST_PROXY/conf/moa-id befindet sich eine funktionsfähige + Konfiguration, die als Ausgangspunkt für die Konfiguration + von MOA-ID-PROXY dienen kann.
Die endorsed Libraries für Tomcat müssen aus dem + Verzeichnis $MOA_ID_INST_PROXY/endorsed in das Tomcat-Verzeichnis + $CATALINA_HOME/common/endorsed kopiert werden. Folgende Libraries + sind für das Deployment im endorsed Verzeichnis vorgesehen: +
- Xerces-J-2.0.2 (bestehend aus xercesImpl.jar + und xmlParserAPIs.jar)
+ Eventuell vorhandene Dateien mit dem gleichen Namen müssen + ersetzt werden.
Folgende Java System Properties sind zu setzen:
+
- moa.id.configuration=Name der MOA ID Konfigurationsdatei. + Eine beispielhafte MOA ID Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/ + SampleMOAIDConfiguration.xml enthalten.
- log4j.configuration=URL der Log4j Konfigurationsdatei. + Eine beispielhafte Log4j-Konfiguration ist in $MOA_ID_INST_AUTH/conf/moa-id/log4j.properties + enthalten.
- javax.net.ssl.trustStore=Name des Truststores + für vertrauenswürdige SSL Client-Zertifikate + (optional; nur, wenn SSL Client-Authentisierung durchgeführt + werden soll).
+ Diese Java System-Properties werden Tomcat über die Umgebungsvariable + CATALINA_OPTS mitgeteilt (siehe Beispiele für Windows + und für Unix/Linux). +
+
+ Beispiel-Skripts zum Setzen von CATALINA_OPTS und zum Starten + von Tomcat sind in $MOA_ID_INST_AUTH\tomcat\ zu finden - Sie + können diese für Ihre Zwecke adaptieren (JAVA_HOME + und $CATALINA_HOME setzen) und nach $CATALINA_HOME kopieren. +

@@ -243,10 +350,11 @@ Diese Java System-Properties werden Tomcat über die Umgebungsvariable CATAL

Starten und Stoppen von Tomcat

-Nach dem Deployment und der Konfiguration kann Tomcat aus seinem Wurzelverzeichnis mit
-

-    bin\catalina start (unter Windows) oder 
+                 Nach dem Deployment und der Konfiguration kann 
+                  Tomcat aus seinem Wurzelverzeichnis ($CATALINA_HOME) mit 

+                  +    startTomcat (unter Windows) oder 
+    moa-id-env.sh
     bin/catalina.sh start (unter Unix/Linux) 
 
 gestartet werden. Das Stoppen von Tomcat erfolgt analog mit 

@@ -293,7 +401,7 @@ FATAL | 03 13:19:06,924 | main | Fehler

In diesem Fall geben die WARN bzw. ERROR Log-Meldungen unmittelbar davor Aufschluss über den genaueren Grund.

- +

@@ -376,11 +484,20 @@ Wenn nun versucht wird, eine Transaktion mit einer ungültigen SessionID fort (MOASessionID=-8650403497547200032)

-In diesem Fall gibt der mitgeloggte Stacktrace Auskunft über die Art des Fehlers. Der Aufrufer der MOA ID Webapplikation bekommt einen Fehlercode sowie eine kurze Beschreibung des Fehlers als Antwort zurück. -

-Die Tatsächlich übertragenen Anfragen bzw. Antworten werden aus Effizienzgründen nur im Log-Level DEBUG angezeigt. -

- +

In diesem Fall gibt der mitgeloggte Stacktrace Auskunft + über die Art des Fehlers. Der Aufrufer der MOA ID + Webapplikation bekommt einen Fehlercode sowie eine kurze + Beschreibung des Fehlers als Antwort zurück.
+
+ Die Tatsächlich übertragenen Anfragen bzw. Antworten + werden aus Effizienzgründen nur im Log-Level DEBUG + angezeigt.

(*) Die gepatchte Version von tomcat-util.jar ist im + Verzeichnis $MOA_ID_INST_AUTH\tomcat\tomcat-util-4.1.27-patched\ + zu finden.

+

@@ -396,5 +513,5 @@ Die Tatsächlich übertragenen Anfragen bzw. Antworten werden aus Effizi - + \ No newline at end of file diff --git a/id.server/doc/moa_id/id-admin_2.htm b/id.server/doc/moa_id/id-admin_2.htm index b4e22a36b..3bf2a6892 100644 --- a/id.server/doc/moa_id/id-admin_2.htm +++ b/id.server/doc/moa_id/id-admin_2.htm @@ -110,286 +110,490 @@ Projekt moa - -

Konfiguration von MOA ID v.1.1

- -

Konfiguration von MOA ID v.1.1

-Die Konfiguration von MOA ID wird mittels einer XML-basierten Konfigurationsdatei, die dem Schema -MOA-ID-Configuration-1.1.xsd entspricht, durchgeführt. -

-Der Ort der Konfigurationsdatei wird im Abschnitt Deployment der Web-Applikation -in Tomcat beschrieben. -

-Die folgenden Abschnitte erläutern das Format der Konfigurationsdatei. -MOA-ID-Configuration.xml zeigt ein Beispiel -für eine umfassende Konfigurationsdatei. -

-Enthält die Konfigurationsdatei relative Pfadangaben, werden diese relativ zum Verzeichnis, in dem Tomcat gestartet wurde, interpretiert. - -

-ConnectionParameter
-Das Element ConnectionParameter enthält Parameter, die MOA-ID für den Aufbau von Verbindungen zu anderen Komponenten -benötigt. Dieses Element tritt mehrfach in der Konfigurationsdatei auf und wird daher vorab detailliert beschrieben. -

-Das Attribut URL enthält die URL der Komponente zu der die Verbindung aufgebaut werden soll. -Wird das Schema https verwendet, können die Kind-Elemente AcceptedServerCertificates -und ClientKeyStore angegeben werden. Wird das Schema http verwendet müssen keine Kind-Elemente -angegeben werden bzw. werden diese nicht ausgewertet. Andere Schemas werden nicht unterstützt. -

-Wird die Verbindung über TLS aufgebaut und erfordert der TLS-Server eine Client-Authentisierung -mittels Zertifikate, dann muss das Kind-Element ClientKeyStore spezifiziert werden, und es muss -eine URL enthalten, die einen PKCS#12-Keystore mittels URL-Schema 'file:' referenziert. -Diesem Keystore wird der private Schlüssel für die TLS-Client-Authentisierung entnommen. -Das Passwort zum Lesen des privaten Schlüssels wird im Attribut ClientKeyStore/@password konfiguriert.
-Aufgrund der Tatsache, dass starke Verschlüsselung eine Voraussetzung für MOA-ID darstellt, werden clientseitig nur die folgenden Cipher Suites unterstützt:
-

SSL_RSA_WITH_RC4_128_SHA
SSL_RSA_WITH_RC4_128_MD5
SSL_RSA_WITH_3DES_EDE_CBC_SHA

-Im Kind-Element AcceptedServerCertificates kann ein Verzeichnisname angegeben werden, in dem die -akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. Dieses Verzeichnis wird mittels URL-Schema 'file:' referenziert. In diesem Verzeichnis werden nur Serverzertifikate -abgelegt. Fehlt dieser Parameter wird lediglich überprüft ob ein Zertifikatspfad zu den im Element <TrustedCACertificates> angegebenen Zertifikaten erstellt werden kann. Falls dies nicht möglich ist, kommt es zu einem Fehlerfall. -

- - -

-AuthComponent
-AuthComponent enthält Parameter, die nur die MOA-ID Authentisierungskomponente betreffen. -Das Element ist optional und muss nicht verwendet werden, wenn auf dem Server keine MOA-ID Authentisierungskomponente -installiert wird. -

-Das Element AuthComponent hat vier Kind-Element: -

BKUSelection (optional)
SecurityLayer
MOA-SP
IdentityLinkSigners

- -

-AuthComponent/BKUSelection
-Das optionale Element BKUSelection enthält Parameter zur Nutzung eines Auswahldienstes für eine -Bürgerkartenumgebung (BKU). Wird das Element nicht angegeben, dann wird die lokale Bürgerkartenumgebung -auf http://localhost:3495/http-security-layer-request verwendet. -

-Das Attribut BKUSelectionAlternative gibt an welche Alternative zur BKU-Auswahl verwendet werden soll. MOA-ID -unterstützt die Werte HTMLComplete (vollständige HTML-Auswahl) und HTMLSelect (HTML-Code für Auswahl) -["Auswahl von Bürgerkartenumge-bungen", Arno Hollosi]. -

-Das Kind-Element ConnectionParameter spezifiziert die Verbindung zum Auswahldienst (siehe -ConnectionParameter), jedoch kann das Kind-Element ClientKeyStore -nicht angegeben werden. -

- -

-AuthComponent/SecurityLayer
-Das Element SecurityLayer enthält Parameter zur Nutzung des Security-Layers. -

-Das Kind-Element TransformsInfo spezifiziert eine Transformation, die für die Erstellung der Signatur -des AUTH-Blocks als Parameter in den CreateXMLSignatureRequest des Security-Layers integriert werden muss. -Mehrere unterschiedliche Implementierungen des Security-Layer können durch die Angabe mehrerer TransformsInfo-Elemente unterstützt werden. -

-Das Attribut TransformsInfo/@filename verweist auf eine Datei, die das globale Element TransformsInfo vom Typ -TransformsInfo enthält. Das Encoding dieser Datei muss (anders als im Beispiel) UTF-8 sein. -

-Beispiel für eine TransformsInfo-Datei -

- -

-AuthComponent/MOA-SP
-Das Element MOA-SP enthält Parameter zur Nutzung von MOA-SP. MOA-SP wird für die überprüfung der Signatur -der Personenbindung und des AUTH-Blocks verwendet. -

-Wird das Kind-Element ConnectionParameter angegeben, dann wird MOA-SP über das Webservice angesprochen, andernfalls -wird MOA-SP über das API angesprochen. -

-Das Kind-Element VerifyIdentityLink/TrustProfileID spezifiziert eine TrustProfileID, die für den -VerifyXMLSignatureRequest zur überprüfung der Signatur der Personenbindung verwendet werden muss. -

-Die Kind-Elemente VerifyAuthBlock/TrustProfileID und VerifyAuthBlock/VerifyTransformsInfoProfileID -spezifizieren eine TrustProfileID und eine ID für ein Transformationsprofil, die für den -VerifyXMLSignatureRequest zur überprüfung der Signatur des Auth-Blocks verwendet werden müssen. -

- -

-AuthComponent/IdentityLinkSigners
-Dieses Element gibt an von welchen Signatoren die Signatur des IdentityLink erstellt werden musste -damit der IdentityLink akzeptiert wird. Für jeden Signator muss der X509SubjectName nach RFC 2253 -spezifiziert werden. -

-Beispiel -

-

- -

-ProxyComponent
-ProxyComponent enthält Parameter, die nur die MOA-ID Proxykomponente betreffen. -Das Element ist optional und muss nicht verwendet werden, wenn auf dem Server keine MOA-ID Proxykomponente -installiert wird. -

-Das Element ProxyComponent hat nur das Kind-Element AuthComponent, das die Verbindung zur -Authentisierungs-komponente beschreibt. -

-Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente -über ein Webservice auf, dann muss das Element ConnectionParameter spezifiziert werden. -

-Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente -über das API auf, dann wird das Element ConnectionParameter nicht spezifiziert. -

- -

-OnlineApplication
-Für jede Online-Applikation, die über MOA-ID authentisiert wird, gibt es ein Element OnlineApplication. -Die Parameter betreffen teils die MOA-ID Authentisierungskomponente, teils die MOA-ID Proxykomponente, teils beide. -

-Das Attribut OnlineApplication/@publicURLPrefix entspricht dem URL-Präfix der nach außen sichtbaren -Domäne der Online-Applikation, welcher von der MOA-ID Proxykomponente durch den URL-Präfix der wirklichen -Domäne (Attribut OnlineApplication/ProxyComponent/ConnectionParameter/@URL) ersetzt wird. -Es dient als Schlüssel zum Auffinden der Konfigurationsparameter zur Online-Applikation. -

-Das Element OnlineApplication hat optional zwei Kind-Elemente: AuthComponent und ProxyComponent. -

- -

-OnlineApplication/AuthComponent
-Das Element OnlineApplication/AuthComponent muss verwendet werden wenn auf dem Server die Authentisierungskomponente -installiert wird. Es enthält Parameter, die das Verhalten der Authentisierungskomponente bezüglich der Online-Applikation -konfiguriert. -

-Das Attribut provideZMRZahl bestimmt, ob die ZMR-Zahl in den Anmeldedaten aufscheint. -Analog steuern die Attribute provideAUTHBlock und provideIdentityLink, ob die Anmeldedaten -den Auth-Block bzw. die Personenbindung enthalten. Alle Attribute sind optional und haben den Default-Wert false. -

-

- -

-OnlineApplication/ProxyComponent
-Das Element OnlineApplication/ProxyComponent muss verwendet werden wenn auf dem Server die Proxykomponente -installiert wird. -

-Das optionale Attribut configFileURL verweist auf eine Konfigurationsdatei die dem Schema -MOA-ID-Configuration-1.1.xsd entspricht mit Dokument-Element -Configuration.
-Default-Wert: http://<realURLPrefix>/MOAConfig.xml -
(<realURLPrefix> entspricht dem Wert von OnlineApplication/ProxyComponent/ConnectionParameter/@URL) -

-Das optionale Attribut sessionTimeOut legt das Timeout einer Benutzersession in der -Proxykomponente in Sekunden fest.
-Default-Wert: 3600 -

-Im optionalen Attribut loginParameterResolverImpl kann der Klassenname eines -zu verwendenden LoginParameterResolver angegeben werden, welcher die Defaultimplementierung ersetzt. -

-Im optionalen Attribut connectionBuilderImpl kann der Klassenname eines zu verwendenden -ConnectionBuilder angegeben werden, welcher die Defaultimplementierung ersetzt. -

-Im Kind-Element ConnectionParameter ist konfiguriert, wie MOA-ID-PROXY zur Online-Applikation verbindet. -

- -

-ChainingModes
-Das Element ChainingModes definiert, ob bei der Zertifikatspfad-überprüfung das Kettenmodell -("chaining") oder das Modell nach PKIX RFC 3280 ("pkix") verwendet werden soll. -

-Das Attribut systemDefaultMode spezifiziert das Modell, das im Standardfall verwendet werden soll. -

-Mit dem Kind-Element TrustAnchor kann für jeden Trust Anchor ein abweichendes Modell spezifiziert werden. -Ein Trust Anchor ist ein Zertifikat, das in TrustedCACertificates spezifiziert ist. -Ein Trust Anchor wird durch den Typ <dsig:X509IssuerSerialType> spezifiziert. -Das für diesen Trust Anchor gültige Modell wird durch das Attribut mode spezifiziert. -

-Gültige Werte für die Attribute systemDefaultMode und mode sind "chaining" und "pkix". -

-Beispiel -

- -

-TrustedCACertificates
-Das Element TrustedCACertificates enthält eine URL, die auf ein Verzeichnis verweist, das jene Zertifikate -enthält, die als vertrauenswürdig betrachtet werden. Diese URL muss mittels URL-Schema 'file:' referenziert werden. Im Zuge der Überprüfung der TLS-Serverzertifikate wird die -Zertifikatspfaderstellung an einem dieser Zertifikate beendet. -

- -

-GenericConfiguration
-Das Element GenericConfiguration ermöglicht das Setzen von Namen-Werte Paaren mittels der Attribute -name und value. Die folgende Liste spezifiziert -

gültige Werte für das name-Attribut,
eine Beschreibung
gültige Werte für das value-Attribut und (falls vorhanden)
den Default-Wert für das value-Attribut.

- - - - -

name: DirectoryCertStoreParameters.RootDir
-Gibt den Pfadnamen zu einem Verzeichnis an, das als Zertifikatsspeicher im Zuge der TLS-Server-Zertifikatsüberprüfung -verwendet wird. - -value: -Gültige Werte: Name eines gültigen Verzeichnisses -Dieser Parameter muss angegeben werden. -

- - - - -

name: AuthenticationSession.TimeOut
-Gibt die Zeitspanne in Sekunden vom Beginn der Authentisierung bis zum Anlegen der Anmeldedaten an. -Wird die Angegebene Zeitspanne überschritten wird der Anmeldevorgang abgebrochen. - - -value: -Gültige Werte: positive Ganzzahlen -Default-Wert: 120 -

- - - - -

name: AuthenticationData.TimeOut
-Gibt die Zeitspanne in Sekunden an, für die die Anmeldedaten in der Authentisierungskomponente zum Abholen -durch die Proxykomponente oder eine nachfolgende Applikation bereitstehen. Nach Ablauf dieser Zeitspanne werden die Anmeldedaten gelöscht. - -value: -Gültige Werte: positive Ganzzahlen -Default-Wert: 600 -

- - - - -

name: TrustManager.RevocationChecking
-Für die TLS-Server-Authentisierung dürfen nur Server-Zertifikate verwendet werden, die eine CRLDP-Extension enthalten (andernfalls kann von MOA-ID keine CRL-überprüfung durchgeführt werden). - Soll das RevocationChecking generell ausgeschaltet werden, ist dieses Attribut anzugeben und auf "false" zu setzen. - - -value: -Gültige Werte: true, false -Default-Wert: true -

- - - + +

Konfiguration von MOA ID v.1.1

Die Konfiguration von MOA ID wird mittels einer XML-basierten + Konfigurationsdatei, die dem Schema MOA-ID-Configuration-1.1.xsd + entspricht, durchgeführt. +

Der Ort der Konfigurationsdatei wird im Abschnitt Deployment + der Web-Applikation in Tomcat beschrieben. +

Die folgenden Abschnitte erläutern das Format der Konfigurationsdatei. + MOA-ID-Configuration.xml + zeigt ein Beispiel für eine umfassende Konfigurationsdatei.

Enthält die Konfigurationsdatei relative Pfadangaben, werden + diese relativ zum Verzeichnis, in dem sich die MOA-ID Konfigurationsdatei + befindet, interpretiert.
+

ConnectionParameter
+ Das Element ConnectionParameter enthält Parameter, + die MOA-ID für den Aufbau von Verbindungen zu anderen Komponenten + benötigt. Dieses Element tritt mehrfach in der Konfigurationsdatei + auf und wird daher vorab detailliert beschrieben.
+
+ Das Attribut URL enthält die URL der Komponente zu + der die Verbindung aufgebaut werden soll. Wird das Schema https + verwendet, können die Kind-Elemente AcceptedServerCertificates + und ClientKeyStore angegeben werden. Wird das Schema http + verwendet müssen keine Kind-Elemente angegeben werden bzw. + werden diese nicht ausgewertet. Andere Schemas werden nicht unterstützt. +
+
+ Wird die Verbindung über TLS aufgebaut und erfordert der TLS-Server + eine Client-Authentisierung mittels Zertifikate, dann muss das Kind-Element + ClientKeyStore spezifiziert werden. Im Element ClientKeyStore + wird der Filename des PKCS#12-Keys (relativ zur MOA-ID Konfigurationsdatei) + angegeben. Diesem Keystore wird der private Schlüssel für + die TLS-Client-Authentisierung entnommen. Das Passwort zum Lesen + des privaten Schlüssels wird im Attribut ClientKeyStore/@password + konfiguriert.
+ Aufgrund der Tatsache, dass starke Verschlüsselung eine Voraussetzung + für MOA-ID darstellt, werden clientseitig nur die folgenden + Cipher Suites unterstützt:
+

SSL_RSA_WITH_RC4_128_SHA
SSL_RSA_WITH_RC4_128_MD5
SSL_RSA_WITH_3DES_EDE_CBC_SHA

+ Im Kind-Element AcceptedServerCertificates kann ein Verzeichnisname + (relativ zur MOA-ID Konfigurationsdatei) angegeben werden, in dem + die akzeptierten Zertifikate der TLS-Verbindung hinterlegt sind. In + diesem Verzeichnis werden nur Serverzertifikate abgelegt. Fehlt dieser + Parameter wird lediglich überprüft ob ein Zertifikatspfad + zu den im Element <TrustedCACertificates> angegebenen + Zertifikaten erstellt werden kann. Falls dies nicht möglich ist, + kommt es zu einem Fehlerfall. +

AuthComponent
+ AuthComponent enthält Parameter, die nur die MOA-ID + Authentisierungskomponente betreffen. Das Element ist optional + und muss nicht verwendet werden, wenn auf dem Server keine MOA-ID + Authentisierungskomponente installiert wird.
+
+ Das Element AuthComponent hat vier Kind-Element: +

BKUSelection (optional)
SecurityLayer
MOA-SP
IdentityLinkSigners

AuthComponent/BKUSelection
+ Das optionale Element BKUSelection enthält Parameter + zur Nutzung eines Auswahldienstes für eine Bürgerkartenumgebung + (BKU). Wird das Element nicht angegeben, dann wird die lokale + Bürgerkartenumgebung auf http://localhost:3495/http-security-layer-request + verwendet.
+
+ Das Attribut BKUSelectionAlternative gibt an welche + Alternative zur BKU-Auswahl verwendet werden soll. MOA-ID unterstützt + die Werte HTMLComplete (vollständige HTML-Auswahl) + und HTMLSelect (HTML-Code für Auswahl) ["Auswahl + von Bürgerkartenumge-bungen", Arno Hollosi].
+
+ Das Kind-Element ConnectionParameter spezifiziert die + Verbindung zum Auswahldienst (siehe ConnectionParameter), + jedoch kann das Kind-Element ClientKeyStore nicht angegeben + werden.

AuthComponent/SecurityLayer
+ Das Element SecurityLayer enthält Parameter + zur Nutzung des Security-Layers.
+
+ Das Kind-Element TransformsInfo spezifiziert eine + Transformation, die für die Erstellung der Signatur des + AUTH-Blocks als Parameter in den CreateXMLSignatureRequest + des Security-Layers integriert werden muss. Mehrere unterschiedliche + Implementierungen des Security-Layer können durch die + Angabe mehrerer TransformsInfo-Elemente unterstützt + werden.
+
+ Das Attribut TransformsInfo/@filename verweist auf + eine Datei, die das globale Element TransformsInfo + vom Typ TransformsInfo enthält. Die Angabe erfolgt + relativ zur MOA-ID Konfigurationsdatei. Das Encoding dieser + Datei muss (anders als im Beispiel) UTF-8 sein.
+
+ Beispiel für + eine TransformsInfo-Datei

AuthComponent/MOA-SP
+ Das Element MOA-SP enthält Parameter zur Nutzung + von MOA-SP. MOA-SP wird für die überprüfung + der Signatur der Personenbindung und des AUTH-Blocks verwendet. +
+
+ Wird das Kind-Element ConnectionParameter angegeben, + dann wird MOA-SP über das Webservice angesprochen.

Wird das Kind-Element ConnectionParameter + nicht angegeben so wird eine MOA-ID beiligende Version von + MOA-SP direkt über das Java-API angesprochen. In diesem + Fall muss das System-Property auf die verwendete Konfigurationsdatei + von MOA-SP gesetzt werden. Eine beispielhafte MOA-SP Konfigurationsdatei + ist in $MOA_ID_INST_AUTH/conf/moa-spss/SampleMOASPSSConfiguration.xml + enthalten.

Hinweis: MOA-SP muss entsprechend konfiguriert + werden - siehe hierzu Abschnitt Konfiguration + von MOA-SP. Alle Details zur Konfiguration von MOA-SP + finden sie in der Distribution von MOA-SP/SS beiligenden + Dokumentation im Abschnitt 'Konfiguration'.
+
+ Das Kind-Element VerifyIdentityLink/TrustProfileID + spezifiziert eine TrustProfileID, die für den VerifyXMLSignatureRequest + zur Überprüfung der Signatur der Personenbindung + verwendet werden muss. Diese TrustProfileID muss beim + verwendeten MOA-SP Modul konfiguriert sein.
+
+ Die Kind-Elemente VerifyAuthBlock/TrustProfileID + und VerifyAuthBlock/VerifyTransformsInfoProfileID + spezifizieren eine TrustProfileID und eine ID für + ein Transformationsprofil, die für den VerifyXMLSignatureRequest + zur überprüfung der Signatur des Auth-Blocks + verwendet werden müssen. Diese TrustProfileID muss + beim verwendeten MOA-SP Modul konfiguriert sein.

AuthComponent/IdentityLinkSigners +
+ Dieses Element gibt an von welchen Signatoren die Signatur + des IdentityLink erstellt werden musste damit der IdentityLink + akzeptiert wird. Für jeden Signator muss der X509SubjectName + nach RFC 2253 spezifiziert werden.
+
+ Beispiel +
+
+

ProxyComponent
+ ProxyComponent enthält Parameter, die + nur die MOA-ID Proxykomponente betreffen. Das Element + ist optional und muss nicht verwendet werden, wenn auf + dem Server keine MOA-ID Proxykomponente installiert + wird.
+
+ Das Element ProxyComponent hat nur das Kind-Element + AuthComponent, das die Verbindung zur Authentisierungs-komponente + beschreibt.
+
+ Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente + über ein Webservice auf, dann muss das Element + ConnectionParameter spezifiziert werden.
+
+ Baut die Proxykomponente die Verbindung zur Authentisierungs-komponente + über das API auf, dann wird das Element ConnectionParameter + nicht spezifiziert.

OnlineApplication
+ Für jede Online-Applikation, die über MOA-ID + authentisiert wird, gibt es ein Element OnlineApplication. + Die Parameter betreffen teils die MOA-ID Authentisierungskomponente, + teils die MOA-ID Proxykomponente, teils beide.
+
+ Das Attribut OnlineApplication/@publicURLPrefix + entspricht dem URL-Präfix der nach außen + sichtbaren Domäne der Online-Applikation, welcher + von der MOA-ID Proxykomponente durch den URL-Präfix + der wirklichen Domäne (Attribut OnlineApplication/ProxyComponent/ConnectionParameter/@URL) + ersetzt wird. Es dient als Schlüssel zum Auffinden + der Konfigurationsparameter zur Online-Applikation. +
+
+ Das Element OnlineApplication hat optional + zwei Kind-Elemente: AuthComponent und ProxyComponent. +

OnlineApplication/AuthComponent +
+ Das Element OnlineApplication/AuthComponent + muss verwendet werden wenn auf dem Server die Authentisierungskomponente + installiert wird. Es enthält Parameter, die + das Verhalten der Authentisierungskomponente bezüglich + der Online-Applikation konfiguriert.
+
+ Das Attribut provideZMRZahl bestimmt, ob + die ZMR-Zahl in den Anmeldedaten aufscheint. Analog + steuern die Attribute provideAUTHBlock + und provideIdentityLink, ob die Anmeldedaten + den Auth-Block bzw. die Personenbindung enthalten. + Alle Attribute sind optional und haben den Default-Wert + false.
+
+

OnlineApplication/ProxyComponent +
+ Das Element OnlineApplication/ProxyComponent + muss verwendet werden wenn auf dem Server die + Proxykomponente installiert wird.
+
+ Das optionale Attribut configFileURL + verweist auf eine Konfigurationsdatei die dem + Schema MOA-ID-Configuration-1.1.xsd + entspricht mit Dokument-Element Configuration. + Die Angabe erfolgt relativ zur verwendeten MOA-ID + Konfigurationsdatei. Beispiel für das Element + configFileURL: "oa/SampleOAConfiguration.xml".
+ Defaultmäßig wird versucht die Datei + von der betreffenden OnlineApplikation unter dem + Wert: http://<realURLPrefix>/MOAConfig.xml + zu laden.
+ (<realURLPrefix> entspricht dem + Wert von OnlineApplication/ProxyComponent/ConnectionParameter/@URL) +
+
+ Das optionale Attribut sessionTimeOut + legt das Timeout einer Benutzersession in der + Proxykomponente in Sekunden fest.
+ Default-Wert: 3600
+
+ Im optionalen Attribut loginParameterResolverImpl + kann der Klassenname eines zu verwendenden LoginParameterResolver + angegeben werden, welcher die Defaultimplementierung + ersetzt.
+

Im optionelen Attribut loginParameterResolverConfiguration +kann ein Configurationsstring für die + Initialisierung der betreffenden loginParameterResolverImpl + angegeben werden.
+
+ Im optionalen Attribut connectionBuilderImpl + kann der Klassenname eines zu verwendenden ConnectionBuilder + angegeben werden, welcher die Defaultimplementierung + ersetzt.
+
+ Im Kind-Element ConnectionParameter ist + konfiguriert, wie MOA-ID-PROXY zur Online-Applikation + verbindet.

ChainingModes
+ Das Element ChainingModes definiert, + ob bei der Zertifikatspfad-überprüfung + das Kettenmodell ("chaining") oder + das Modell nach PKIX RFC 3280 ("pkix") + verwendet werden soll.
+
+ Das Attribut systemDefaultMode spezifiziert + das Modell, das im Standardfall verwendet werden + soll.
+
+ Mit dem Kind-Element TrustAnchor kann + für jeden Trust Anchor ein abweichendes + Modell spezifiziert werden. Ein Trust Anchor + ist ein Zertifikat, das in TrustedCACertificates + spezifiziert ist. Ein Trust Anchor wird durch + den Typ <dsig:X509IssuerSerialType> + spezifiziert. Das für diesen Trust Anchor + gültige Modell wird durch das Attribut + mode spezifiziert.
+
+ Gültige Werte für die Attribute systemDefaultMode + und mode sind "chaining" und + "pkix".
+
+ Beispiel +

TrustedCACertificates
+ Das Element TrustedCACertificates + enthält das Verzeichnis (relativ zur + MOA-ID Konfigurationsdatei), das jene Zertifikate + enthält, die als vertrauenswürdig + betrachtet werden. Im Zuge der Überprüfung + der TLS-Serverzertifikate wird die Zertifikatspfaderstellung + an einem dieser Zertifikate beendet.

GenericConfiguration
+ Das Element GenericConfiguration + ermöglicht das Setzen von Namen-Werte + Paaren mittels der Attribute name + und value. Die folgende Liste spezifiziert +

gültige Werte für das name-Attribut, +
eine Beschreibung
gültige Werte für das value-Attribut + und (falls vorhanden)
den Default-Wert für das value-Attribut. +

+ + + + + + + +

name: DirectoryCertStoreParameters.RootDir
Gibt den Pfadnamen zu einem + Verzeichnis an, das als Zertifikatsspeicher + im Zuge der TLS-Server-Zertifikatsüberprüfung + verwendet wird. + + value: + Gültige Werte: Name eines gültigen + Verzeichnisses (relativ zur MOA-ID Konfigurationsdatei) + Dieser Parameter muss angegeben werden. +

+ + + + + + + +

name: AuthenticationSession.TimeOut
Gibt die Zeitspanne in + Sekunden vom Beginn der Authentisierung + bis zum Anlegen der Anmeldedaten an. + Wird die Angegebene Zeitspanne überschritten + wird der Anmeldevorgang abgebrochen. + + + value: + Gültige Werte: positive Ganzzahlen + + Default-Wert: 120

+ + + + + + + +

name: AuthenticationData.TimeOut
Gibt die Zeitspanne in + Sekunden an, für die die Anmeldedaten + in der Authentisierungskomponente zum + Abholen durch die Proxykomponente oder + eine nachfolgende Applikation bereitstehen. + Nach Ablauf dieser Zeitspanne werden + die Anmeldedaten gelöscht. + + value: + Gültige Werte: positive Ganzzahlen + Default-Wert: 600

+ + + + + + + +

name: TrustManager.RevocationChecking
Für die TLS-Server-Authentisierung + dürfen nur Server-Zertifikate verwendet + werden, die eine CRLDP-Extension enthalten + (andernfalls kann von MOA-ID keine CRL-überprüfung + durchgeführt werden). + Soll das RevocationChecking generell + ausgeschaltet werden, ist dieses Attribut + anzugeben und auf "false" zu setzen. + + + value: + Gültige Werte: true, false + Default-Wert: true

+ + + + + + + +

name: FrontendServlets.EnableHTTPConnection
+ Standardmäßig können + die beiden Servlets "StartAuthentication" + und "SelectBKU" welche das + User-Frontend darstellen, aus Sicherheitsgründen, + nur über das Schema HTTPS aufgerufen + werden. + Wenn die beiden Servlets jedoch auch + Verbindungen nach dem Schema HTTP + entgegennehmen sollen, so kann mittels + dem Attribut "EnableHTTPServletConnection" + erlaubt werden. + Hinweis: Sicher und sinnvoll ist + das Erlauben der HTTP Verbindung nur + dann, wenn ein Vorgeschalteter Webserver + das HTTPS handling übernimmt, + und eine Verbindung zu den Servlets + nur über diesen Webserver möglich + ist. + + value: + Gültige Werte: true, false + Default-Wert: false

name: FrontendServlets.EnableHTTPConnection

Standardmäßig können + die beiden Servlets "StartAuthentication" + und "SelectBKU" welche das + User-Frontend darstellen, aus Sicherheitsgründen, + nur über das Schema HTTPS aufgerufen + werden.

Wenn die beiden Servlets jedoch auch + Verbindungen nach dem Schema HTTP + entgegennehmen sollen, so kann mittels + dem Attribut "EnableHTTPServletConnection" + erlaubt werden.

Hinweis: Sicher und sinnvoll ist + das Erlauben der HTTP Verbindung nur + dann, wenn ein Vorgeschalteter Webserver + das HTTPS handling übernimmt, + und eine Verbindung zu den Servlets + nur über diesen Webserver möglich + ist.

+ value:
+ Gültige Werte: true, false
+ Default-Wert: false

+ + + + + + + +

name: + FrontendServlets.DataURLPrefix
+ Standardmäßig wird als + DataURL Prefix das URL Präfix + unter dem die MOA-ID Servlets erreichbar + sind verwendet. Im Falle das sich + der MOA-ID Server hinter einer Firewall + befindet und die Requests von einem + vorgelagertem Webserver weitergereicht + werden, kann mit FrontendServlets.DataURLPrefix + ein alternatives URL Präfix angegeben + werden. In diesem Fall muss der Webserver + so konfiguriert sein, dass er Request + auf diese URLs an den MOA-ID Server + weiterleitet. + + value: + Gültige Werte: URLs nach dem Schema + 'http://' und 'https://' + Default-Wert: kein Default-Wert + Beispiel: <GenericConfiguration name="FrontendServlets.DataURLPrefix" + value="https://<your_webserver>/moa-id-auth/"/>

name: + FrontendServlets.DataURLPrefix

Standardmäßig wird als + DataURL Prefix das URL Präfix + unter dem die MOA-ID Servlets erreichbar + sind verwendet. Im Falle das sich + der MOA-ID Server hinter einer Firewall + befindet und die Requests von einem + vorgelagertem Webserver weitergereicht + werden, kann mit FrontendServlets.DataURLPrefix + ein alternatives URL Präfix angegeben + werden. In diesem Fall muss der Webserver + so konfiguriert sein, dass er Request + auf diese URLs an den MOA-ID Server + weiterleitet.

+ value:
+ Gültige Werte: URLs nach dem Schema + 'http://' und 'https://'
+ Default-Wert: kein Default-Wert
+ Beispiel: <GenericConfiguration name="FrontendServlets.DataURLPrefix" + value="https://<your_webserver>/moa-id-auth/"/>

+ +

@@ -476,7 +680,7 @@ Die <login-url> ergibt sich aus dem Parameter OA des

BasicAuth
@@ -518,9 +722,9 @@ Die Header werden folgendermaßen in den Request an die Online-Applikation Der Wert resolvedValue wird in der Proxykomponente je nach Wert des Platzhalters eingesetzt. Etwaige Header aus dem ursprünglichen Request an die Proxykomponente, die denselben Namen haben, müssen überschrieben werden. -

- +

@@ -536,26 +740,23 @@ Etwaige Header aus dem ursprünglichen Request an die Proxykomponente, die d

Konfiguration von MOA-SP

-MOA-ID überprüft die Signaturen der Personenbindung und des AUTH-Blocks mit dem VerifyXMLSignatureRequest -von MOA-SP. Dazu muss MOA-SP wie unten beschreiben konfiguriert werden. -

-Ein Auszug einer beispielhaften MOA-SP Konfigurationsdatei, die diese Konfigurationsparameter enthält ist in -$MOA_ID_INST_AUTH/conf/moa-spss/ SampleMOASPSSConfiguration.xml enthalten. - -

- -

-VerifyTransformsInfoProfile
-Der Request zum überprüfen der Signatur des AUTH-Blocks verwendet ein vordefiniertes VerifyTransformsInfoProfile. -Die im Request verwendete Profil-ID wird in der MOA-ID Konfigurationsdatei -im Element /MOA-IDConfiguration/ AuthComponent/MOA-SP/VerifyAuthBlock/ VerifyTransformsInfoProfileID definiert. -Entsprechend muss am MOA-SP Server ein VerifyTransformsInfoProfile mit gleichlautender ID definiert werden. Die -Profiledefinition selbst ist in der Auslieferung von MOA-ID in $MOA_ID_INST_AUTH/conf/moa-spss/profiles/MOAIDTransformAuthBlock.xml -enthalten. Diese Profildefinition muss unverändert übernommen werden. -

MOA-ID überprüft die Signaturen der Personenbindung und + des AUTH-Blocks mit dem VerifyXMLSignatureRequest von + MOA-SP. Dazu muss MOA-SP wie unten beschreiben konfiguriert werden. +
+
+ VerifyTransformsInfoProfile
+ Der Request zum überprüfen der Signatur des AUTH-Blocks + verwendet ein vordefiniertes VerifyTransformsInfoProfile. Die + im Request verwendete Profil-ID wird in der MOA-ID Konfigurationsdatei + im Element /MOA-IDConfiguration/ AuthComponent/MOA-SP/VerifyAuthBlock/ + VerifyTransformsInfoProfileID definiert. Entsprechend muss + am MOA-SP Server ein VerifyTransformsInfoProfile mit gleichlautender + ID definiert werden. Die Profiledefinition selbst ist in der Auslieferung + von MOA-ID in $MOA_ID_INST_AUTH/conf/moa-spss/profiles/MOAIDTransformAuthBlock.xml + enthalten. Diese Profildefinition muss unverändert übernommen + werden.

@@ -619,5 +820,5 @@ Im Falle einer fehlerhaften neuen Konfiguration wird die ursprüngliche Konf

- +

\ No newline at end of file diff --git a/id.server/doc/moa_id/id-admin_3.htm b/id.server/doc/moa_id/id-admin_3.htm index 92d13aa6a..3a0bce74c 100644 --- a/id.server/doc/moa_id/id-admin_3.htm +++ b/id.server/doc/moa_id/id-admin_3.htm @@ -89,10 +89,24 @@ Damit Tomcat die Aufrufe, die von MS IIS mittels Jakarta mod_jk weiterleitet, en

-Konfiguration von SSL
-Die Dokumentation zum Einrichten von SSL auf dem MS IIS steht nach Installation des IIS unter http://localhost/iisHelp/ bzw. online zur Verfügung. -

- +

Konfiguration von SSL
+ Die Dokumentation zum Einrichten von SSL auf dem MS IIS steht nach + Installation des IIS unter http://localhost/iisHelp/ bzw. online + zur Verfügung.

Konfiguration des zu verwendenden DATA-URL + Präfix
+ Befindet sich der Rechner auf dem MOA-ID installiert wird hinter + einer Firewall welche zwar Zugriffe vom vorgelagerten Webserver + zulässt, nicht jedoch direkte Zugriffe (von den Rechnern von + MOA-ID Benutzern), so muss manuell in der Konfigurationsdatei von + MOA-ID ein s.g. DATA-URL Präfix vergeben werden. An dieses + URL-Präfix werden Daten von der verwendeten Bürgerkartenumgebung + gesendet. Details finden sie im Abschnitt Konfiguration. + Requests an das DataURL-Präfix> müssen durch den Webserver + an https://<moa-id-rechnername>/moa-id-auth/ bzw. an http://<moa-id-rechnername>/moa-id-auth/ + weitergeleitet werden.

@@ -120,8 +134,7 @@ oder für die Proxy-Komponente

     JkMount /* moaworker

- -

+
Konfiguration von Tomcat
Die Konfiguration von Tomcat ist analog wie im Abschnitt über den MS IIS durchzuführen.

@@ -140,7 +153,11 @@ Weiters muss Jakarta mod_jk angewiesen werden, die SSL Schlüssellänge +ForwardURICompat -ForwardDirectories -

Konfiguration des zu verwendenden DATA-URL Präfix

siehe gleichnamige Überschrift + in Abschnitt "Konfiguration des Microsoft Internet Information + Server (optional)"

@@ -183,5 +200,5 @@ Um das Logging in die Datenbank Log4j bekannt zu machen, muss die Log4j-Konfigur

- +

\ No newline at end of file -- cgit v1.2.3