Shibboleth Single-Sign-On für Web-Anwendungen

Transkript

1 Shibboleth Single-Sign-On für Web-Anwendungen Manuel Haim, Stand 10/2011

2 Die Philipps-Universität Marburg gegründet 1527 ca Studierende ca Mitarbeiter 2

3 Warum Shibboleth? Authentifizierungsdienst: zentrale Anmeldeseite für alle Web-Dienste (vgl. OpenID, Facebook,...) De-facto-Standard: im Bibliotheksumfeld international verbreitet Nutzerfreundlich: installationsfreie Alternative zu VPN-Zugang Problem: DFN-AAI fordert: Benutzerdaten max. zwei Wochen alt! Integration bestehender Web-Anwendungen: einmal anmelden alle Dienste nutzen Unser Nahziel: Shibboleth für lokale Web-Anwendungen 3

4 Was kann Shibboleth? nimmt einmalig Anmeldung entgegen und erhält sie aufrecht übermittelt als Identity Provider eine anwendungsabhängige Liste von personenbezogenen Daten an die jeweilige Web-Anwendung 4

5 Anwendungsbeispiel: Anwendungsbeispiel: ILIAS-Nachrichten ILIAS-Nachrichten gehen gehen an an Webmail, Webmail, aber aber der der Seitenwechsel Seitenwechsel erfordert erfordert ein ein erneutes erneutes Login. Login. Die Die Lösung: Lösung: Shibboleth! Shibboleth! 5

6 6

7 Konfiguration 7

8 ++ Webapplikation Webapplikation war/idp.war war/idp.war bzw. bzw. src/main/webapp/ src/main/webapp/ 8

9 9

10 Ausbau zum hochverfügbaren Service 10

11 Lastverteilung + Ausfallsicherung = High Availability Grundidee: Mehrere Server bilden einen Cluster Die Gesamtlast verteilt sich auf die Knoten (Lastverteilung) Kein Dienstausfall bei Ausfall eines Knotens (Ausfallsicherung) Knoten müssen Zustands-Informationen teilen Shibboleth-IdP speichert alle Zustandsdaten im StorageService Problem: Java-Map (Objektänderungen ohne Zurückschreiben) Standardlösung: Java-VMs per Terracotta abgleichen 11

12 Funktionsweise: Funktionsweise: Terracotta synchronisiert alle Terracotta synchronisiert alle Objekte Objektesowie sowieset()/get()set()/get()methodenaufrufe Methodenaufrufeder derjvms. JVMs. 12

13 Funktionsweise: Funktionsweise: Pound mit sticky session. Pound mit sticky session. StorageService StorageServicespeichert speichertalle alle Objekte Objekteimmer immerininlokaler lokalermap. Map. (wg. Java-Objektreferenzen) (wg. Java-Objektreferenzen) StorageService wird bei get()storageservice wird bei get()und undset()-operationen set()-operationenmit mit memcached memcachedabgeglichen. abgeglichen. (BeanUtils.copyProperties()) (BeanUtils.copyProperties()) Ein ServletFilter wird nach Ein ServletFilter wird nach jedem jedemidp-servlet IdP-Servletausgeführt, ausgeführt, um umänderungen Änderungenam amsessionsessionobjekt explizit zurück Objekt explizit zurückininden den StorageService StorageServicezu zuschreiben. schreiben. Daten werden per HashDaten werden per HashFunktion Funktionauf aufmehrere mehrere memcached-instanzen memcached-instanzenverteilt. verteilt. Bei Ausfall eines Servers ist Bei Ausfall eines Servers ist schlimmstenfalls schlimmstenfallsein einneues neues Login am IdP erforderlich. Login am IdP erforderlich. 13

14 Lasttest mit The Grinder Ergebnisse Anzahl Knoten ClusterMethode -Xmx RAM Speicherverbrauch der jeweiligen Cluster-Methode pro Knoten 1536m 3GB Memcached 1536m 3GB (disjunkt) Terracotta m 4GB TPS* MB RAM permanent, 13 MB RAM pro Logins** MB RAM permanent, 300 MB HD pro Logins 22 * Transaktionen pro Sekunde, hier: Anmeldungen pro Sekunde. ** Bei Verwendung von nur einem Memcached-Server: ca. 25 MB RAM pro Logins. Der DerSpeicherverbrauch Speicherverbrauchdes des geteilten geteilten Speichers Speichersentwickelte entwickeltesich sichin inden dentests Testslinear. linear. Memcached arbeitete auch nach Anmeldungen munter weiter. Memcached arbeitete auch nach Anmeldungen munter weiter. Terracotta lief im Modus permanent-store (wie im Shibboleth-Wiki vorgegeben) und Terracotta lief im Modus permanent-store (wie im Shibboleth-Wiki vorgegeben) und wurde wurdevermutl. vermutl.durch durchdie diefestplattennutzung Festplattennutzungausgebremst. ausgebremst.nur Nur Logins Loginsgetestet. getestet. 14

15 Tipps zur Optimierung der einzelnen Knoten Debian Linux: KVM, je 4 2,5GHz, 3 GB RAM (RAM ist wichtig: Tomcat wird bei Nutzung der Swap-Partition sehr sehr langsam!) Tomcat 6: Java-Heap-Space erhöht (-Xmx 1536m) LDAP-Anfragen ohne :caseexactmatch: LDAP: Eigener dnresolver in login.config vt-ldap unterstützt noch kein LDAP Connection Pooling, vgl. ConnectionPool in attribute-resolver.xml ( nicht zwingend nötig, macht Shibboleth bereits automatisch) Cluster-Lösung: memcached (-m 1024) statt Terracotta 15

16 Ausbau von Shibboleth zum Single-Sign-On-Portal 16

17 Unsere Unsere Login-Seite Login-Seite (mit (mit Erweiterungen) Erweiterungen) im im Corporate Corporate Design Design 17

18 18

19 Weiterführende Links Shibboleth: Föderation DFN-AAI: Shibboleth Single Sign-On an der Uni Marburg: IdP Memcached StorageService (Eigenentwicklung): 19

20 Danke für Ihre Aufmerksamkeit! Noch Fragen? Gern jetzt im Anschluss :-) sonst per Manuel Haim, Quellennachweis Icons: Crystal Project (GNU LGPL). 20