Beispiele zum Shibboleth Service
Schreiben Sie die nachfolgenden Direktiven in die Datei .htaccess des Webverzeichnisses, das geschützt werden soll.
Beispiel 1:
- Der Wert der Direktive AuthType (== Shibboleth) ist vorgegeben.
- Die Direktive "Require valid-user" bewirkt, dass alle Mitglieder der TUHH mit ihrem TUHH-Account und ihrem Kerberos-Passwort nach erfolgreicher Authentifizierung auf die geschützte Webseite zugreifen können.
Inhalt von .htaccess:
Anmerkungen:AuthType Shibboleth ShibRequestSetting requireSession true Require valid-user
- Der Wert der Direktive AuthType (== Shibboleth) ist vorgegeben.
- Die Direktive "Require valid-user" bewirkt, dass alle Mitglieder der TUHH mit ihrem TUHH-Account und ihrem Kerberos-Passwort nach erfolgreicher Authentifizierung auf die geschützte Webseite zugreifen können.
Beispiel 2:
- Die Direktive "Require ...." bewirkt, dass die Benutzer mit dem TUHH-Accounts "username1" und "username2" nach erfolgreicher Authentifizierung auf die geschützte Webseite zugreifen können. Autorisiert sind nur die Benutzer "username1" und "username2".
Inhalt von .htaccess:
Anmerkungen:AuthType Shibboleth ShibRequestSetting requireSession true Require user username1 username2
- Die Direktive "Require ...." bewirkt, dass die Benutzer mit dem TUHH-Accounts "username1" und "username2" nach erfolgreicher Authentifizierung auf die geschützte Webseite zugreifen können. Autorisiert sind nur die Benutzer "username1" und "username2".
Beispiel 3:
- Die Direktive AuthGroupFile legt den Namen einer Datei fest, in der eine oder mehrere Benutzergruppen definiert werden.
- Die Direktive "Require Group myGroup" bewirkt, dass alle Mitglieder der in der Datei ".htGroupFile" definierten Gruppe "myGroup" mit ihrem TUHH-Account und ihrem Kerberos-Passwort nach erfolgreicher Authentifizierung auf die geschützte Webseite zugreifen können.
Inhalt von .htaccess:
AuthType Shibboleth ShibRequestSetting requireSession true AuthGroupFile /htdocs/tuhh/mysite/include/.htGroupFile Require group myGroup
Inhalt von .htGroupFile:
Anmerkungen:myGroup: \ username1 \ username2 \ username3 \ username4
- Die Direktive AuthGroupFile legt den Namen einer Datei fest, in der eine oder mehrere Benutzergruppen definiert werden.
- Die Direktive "Require Group myGroup" bewirkt, dass alle Mitglieder der in der Datei ".htGroupFile" definierten Gruppe "myGroup" mit ihrem TUHH-Account und ihrem Kerberos-Passwort nach erfolgreicher Authentifizierung auf die geschützte Webseite zugreifen können.
Beispiel 4:
Die Direktive "Require shib-attr affiliation ~ employee@(tuhh|tu-harburg)\.de" bewirkt, dass alle Mitarbeiter der TUHH mit ihrem TUHH-Account und ihrem Kerberos-Passwort nach erfolgreicher Authentifizierung auf die geschützte Webseite zugreifen können.
Die Shibboleth-Regel shib-attr ermöglicht eine Authorisierung anhand der übertragenen Shibboleth-Attribute. An den Webserver www.tuhh.de werden die Attribute
Im nachfolgenden Beispiel wird das Shibboleth-Attribut ou genutzt.
Inhalt von .htaccess:
Anmerkung:AuthType Shibboleth ShibRequestSetting requireSession true Require shib-attr affiliation ~ employee@(tuhh|tu-harburg)\.de
Die Direktive "Require shib-attr affiliation ~ employee@(tuhh|tu-harburg)\.de" bewirkt, dass alle Mitarbeiter der TUHH mit ihrem TUHH-Account und ihrem Kerberos-Passwort nach erfolgreicher Authentifizierung auf die geschützte Webseite zugreifen können.
Die Shibboleth-Regel shib-attr ermöglicht eine Authorisierung anhand der übertragenen Shibboleth-Attribute. An den Webserver www.tuhh.de werden die Attribute
- uid (entspricht dem LDAP-Attribut uid)
- ou (entspricht dem LDAP-Attribut ou)
- affiliation (entspricht dem LDAP-Attribut tuhhEduPersonScopedAffiliation)
- entitlement (wird für Bibliothek-Dienste benötigt, NICHT für Funktionsaccounts gesetzt)
Im nachfolgenden Beispiel wird das Shibboleth-Attribut ou genutzt.
Beispiel 5:
Die Direktive "Require shib-attr ou ~ ^RZ" bewirkt, dass alle Benutzer, deren Organisationseinheit mit RZ anfängt, mit ihrem TUHH-Account und ihrem Kerberos-Passwort nach erfolgreicher Authentifizierung auf die geschützte Webseite zugreifen können. In diesem Beispiel sind das alle Mitarnbeiter des Rechenzentrums.
Inhalt von .htaccess:
Anmerkung:AuthType Shibboleth ShibRequestSetting requireSession true Require shib-attr ou ~ ^RZ
Die Direktive "Require shib-attr ou ~ ^RZ" bewirkt, dass alle Benutzer, deren Organisationseinheit mit RZ anfängt, mit ihrem TUHH-Account und ihrem Kerberos-Passwort nach erfolgreicher Authentifizierung auf die geschützte Webseite zugreifen können. In diesem Beispiel sind das alle Mitarnbeiter des Rechenzentrums.
Beispiel 6:
Die Direktive "Require shib-user ! ~ ^rztmbr$" bewirkt, dass der Account rztmbr als Berechtigter ausgeschlossen wird. Alle anderen Accounts sind berechtigt.
Anmerkung 2:
Eine Negation ist auch mit der Apache Direktive RequireNone möglich:
Inhalt von .htaccess:
Anmerkung 1:AuthType Shibboleth ShibRequestSetting requireSession true Require shib-user ! ~ ^rztmbr$
Die Direktive "Require shib-user ! ~ ^rztmbr$" bewirkt, dass der Account rztmbr als Berechtigter ausgeschlossen wird. Alle anderen Accounts sind berechtigt.
Anmerkung 2:
Eine Negation ist auch mit der Apache Direktive RequireNone möglich:
AuthType Shibboleth ShibRequestSetting requireSession true <RequireNone> Require user rztmbr </RequireNone>Auch damit wird der Account rztmbr als Einziger ausgeschlossen.