การติดตั้ง Shibboleth Single Sign-On
ตอนที่ 3 - ติดตั้ง SP และ IdP

4. ติดตั้ง Shibboleth SP (Service Provider)

ไปที่โฟลเดอร์ c:\sso\setup ดับเบิลคลิกไฟล์ shibboleth-sp-2.1-win32.msi เพื่อรันโปรแกรมติดตั้ง Shibboleth ส่วนที่เป็น Service Provider เมื่อกดปุ่ม Next > ไปถึงหน้าที่ให้ระบุตำแหน่งที่จะติดตั้ง

รูปภาพ 17 ให้ติดตั้งไว้ที่ c:\sso\shibboleth-sp\
กดปุ่ม Next > สลับมาที่หน้าถัดมา

รูปภาพ 18 ติดตั้งไว้เป็นแบบรันเบื้องหลัง (Daemon) และทำงานอยู่ที่เน็ตเวิร์คพอร์ตหมายเลข 1600
ตามค่าดีฟอลต์ ให้สังเกตว่า Shibboleth Service Provider จะรันอยู่ที่พอร์ต 1600 ให้คลิกปุ่ม Next >

รูปภาพ 19 สังเกตว่า URL ที่ลงท้ายด้วยนามสกุล .sso จะถูกส่งให้กับ Shibboleth SP
คลิกปุ่ม Next > ไปจนถึงขั้นสุดท้าย และรอโปรแกรมติดตั้งสักครู่ แล้วกดปุ่ม Finish เพื่อจบขั้นตอน หลังจากเสร็จสิ้นการติดตั้งแล้ว อาจจำเป็นต้องรีสตาทร์วินโดว์เพื่อให้การทำงานสมบูรณ์

4.1 ตรวจสอบการทำงานของ Shibboleth SP

เปิดไปที่ Services ของวินโดว์ แล้วตรวจดูว่ามีเซอร์วิสชื่อว่า Shibboleth 2.0 Daemon (Default) รันอยู่ในสถานะ Started แล้วหรือไม่

รูปภาพ 20 มีเซอร์วิส Shibboleth 2.0 Daemon (Default) รันอยู่ในสถานะ Started
นอกจากนี้ให้เปิดไฟล์ล็อกของ Shibboleth SP ดูว่าไม่มีข้อผิดพลาดร้ายแรงเกิดขึ้นในขณะที่รัน โดยไฟล์ล็อกจะวางอยู่ที่ c:\sso\shibboleth-sp\var\log\shibboleth

รูปภาพ 21 ตำแหน่งที่วางไฟล์ล็อกการทำงานของ Shibboleth SP

5. ติดตั้ง Shibboleth IdP

ตัว IdP หรือ Identity Provider ทำหน้าที่เชื่อมต่อกับระบบล็อกอิน (Login) เช่น LDAP เพื่อตรวจสอบผู้ใช้ว่าเป็นผู้ที่ถูกต้องหรือไม่ เราจำเป็นต้องติดตั้ง IdP ก่อน เพื่อนำเอา metadata ของ IdP ไปวางไว้ให้กับ SP ซึ่งจะทำให้ SP สลับมาที่หน้าล็อกอินของ IdP และผู้ใช้ล็อกอินเข้าระบบได้

5.1 รันโปรแกรมติดตั้ง

โปรแกรมติดตั้งวางไว้ที่ c:\sso\setup\shibboleth-identityprovider-2.1.2 หลังจากติดตั้ง JDK 1.6 และกำหนดตัวแปรเอ็นวิรอนเมนต์ JAVA_HOME ไว้เรียบร้อยแล้ว ให้ดับเบิลคลิกไฟล์ install.bat แล้ว

รูปภาพ 22 ตัวติดตั้ง IdP ถามว่าจะติดตั้งไว้ที่ไหน ให้ตอบว่า c:\sso\shibboleth-idp
ให้ติดตั้ง IdP ไว้ที่ c:\sso\shibboleth-idp แล้วกดคีย์ Enter

รูปภาพ 23 ถามต่อว่าชื่อเครื่องเซิร์ฟเวอร์เป็นชื่ออะไร ให้ตอบว่า 127.0.0.1
ตัวติดตั้งจะถามต่อว่าชื่อเครื่องเซิร์ฟเวอร์ IdP เป็นชื่ออะไร ในการใช้งานจริงให้ตอบเป็นชื่อเครื่องจริงๆเช่น www.aczept.com แต่ในการทดลองนี้ให้ใส่เป็น 127.0.0.1 และทดลองให้สำเร็จก่อน

รูปภาพ 24 ให้ใส่ password เพื่อป้องกันไฟล์ Java Key Store ที่จะสร้างขึ้น
ให้ใส่พาสเวิร์ดที่จะใช้ป้องกันไฟล์ Java Key Store เป็น password หลังจากกดคีย์ Enter แล้วรอสักครู่ตัวติดตั้งจะก็อปปีไฟล์ที่จำเป็นไปวางไว้ให้ที่ c:\sso\shibboleth-idp ดังนี้

รูปภาพ 25 หลังจากรันตัวติดตั้งเสร็จแล้วได้ไฟล์อยู่ในโฟลเดอร์ c:\sso\shibboleth-idp

เมื่อติดตั้งเสร็จแล้วจะยังใช้งานไม่ได้จนกว่าเราจะนำไฟล์ idp.war ที่อยู่ในโฟลเดอร์ war ไปรันกับตัว Tomcat Web Server เนื่องจากระบบ IdP เป็นระบบที่สร้างขึ้นมาด้วย Java

ความคิดเห็น

แสดงความคิดเห็น

โพสต์ยอดนิยมจากบล็อกนี้

การติดตั้ง Shibboleth Single Sign-On
ตอนที่ 12 - การทำ SLO (Single Log-out)

รูปภาพ
19. การติดตั้ง Shibboleth แบบไม่ใช้ SSL ปัญหาที่เราจะพบในการใช้ SSL คือ ปัจจุบันเราใช้ Self Certificate X509 v3 ในการเข้ารหัสเพื่อทำ SSL ระหว่างตัว SP และ IdP แต่หากนำไปใช้งานกับ Internet Explorer จะพบข้อความแจ้งเตือนทุกครั้งก่อนที่เข้าถึงหน้าจอล็อกอิน เนื่องจาก Internet Explorer ตรวจสอบพบว่า Self Certificate ที่เราใช้งานนี้ไม่ได้รับรองโดย CA (Certificate Authority) ซึ่งหากเราต้องการเลี่ยงข้อความแจ้งเตือนดังกล่าวนี้ เราสามารถทำได้ 2 วิธีคือ 1.    ขอซื้อ Certificate X509 v3 ที่ถูกต้องและได้รับการรับรองจาก CA ที่มีได้รับการเชื่อถือ (Trust) ทางตรง หรือ ทางอ้อมจาก Internet Explorer (ดูที่รายการ Trust Root Certificate ในหน้าต่างปรับแต่งค่า Security ของ Internet Explorer) 2.    ไม่ใช้ SSL ของ Tomcat ทางพอร์ต 8443 และใช้พอร์ต HTTP ปกติที่หมายเลข 8080 แทน ในที่นี้จะแสดงวิธีการปรับแต่งไฟล์ idp-metadata.xml และ shibboleth2.xml แบบที่เลี่ยงการใช้งาน SSL และใช้พอร์ต HTTP 8080 ตามปกติของ Tomcat 19.1 แก้ไขไฟล์ idp-metadata.xml ไปที่โฟลเดอร์ c:\sso\shibboleth-idp\metad...
อ่านเพิ่มเติม

ตัวอย่างการเข้ารหัส AES ด้วย Java และถอดรหัสด้วย C#.NET

รูปภาพ
ตัวอย่างการเข้ารหัสแบบ AES 128 bit บน Java และ .NET 1. การทดสอบการเข้ารหัสและถอดรหัสระหว่าง Java และ .NET 1.1 การเข้ารหัสด้วย Java ให้รันไฟล์ TestEncrypt.java จะได้ผลลัพธ์ดังนี้ รูปภาพ 1 ผลลัพธ์การรันไฟล์ TestEncrypt.java สังเกตว่า cipher text ของภาษาไทยจะยาวกว่าเพราะเข้ารหัสตัวอักษรแบบ UTF8 1.2 การถอดรหัสด้วย Java ให้รันไฟล์ TestDecrypt.java จะได้ผลลัพธ์ดังนี้ รูปภาพ 2 ผลลัพธ์การรันไฟล์ TestDecrypt.java 1.3 การถอดรหัสด้วย .NET ให้รันโปรเจค Encryption จะปรากฏแบบฟอร์มดังนี้ รูปภาพ 3 แบบฟอร์มการทดสอบที่ .NET ให้ก็อปปี้ cipher text ของคำว่า Hello World จากภาพที่ 1 ที่ได้จากโปรแกรมฝั่ง Java มาแปะไว้ในเท็กบ็อกซ์ Cipher Text แล้วกดปุ่ม Decrypt จะได้ผลลัพธ์ดังนี้ รูปภาพ 4 ผลลัพธ์การถอดรหัสที่ฝั่ง .NET ได้คำว่า Hello World กลับมาถูกต้อง 1.4 การถอดรหัสคำภาษาไทยด้วย .NET ให้ก็อปปี Cipher Text ของคำว่า “ สวัสดีครับ ” มาจากผลลัพธ์ในภาพที่ 1 ของโปรแกรม Java เอามาใส่ใน .NET แล้วกดปุ่ม Decrypt จะได้ผลลัพธ์กลับออกมาเป็นคำว่า “ สวัสดีครั...
อ่านเพิ่มเติม

การรักษาความปลอดภัยแบบ OWASP

รูปภาพ
การรักษาความปลอดภัยระบบเว็บแอพพลิเคชันตามวิธีการ OWASP ความเป็นมา เนื่องจากปัจจุบันบริษัทเป็นผู้พัฒนาและส่งมอบระบบเว็บแอพพลิเคชันที่ใช้งานระดับองค์กรจำนวนหลายโครงการให้กับหน่วยงานตั้งแต่ขนาดกลางถึงขนาดใหญ่ จึงจำเป็นต้องคำนึงถึงการรักษาความปลอดภัยข้อมูลเป็นนโยบายอันดับต้น โดยแนวทางการรักษาความปลอดภัยที่ได้รับความนิยมในปัจจุบันก็คือ OWASP (Open Web Applicatoin Security Project) ซึ่งได้รวบรวมจุดอ่อนทางด้านการรักษาความปลอดภัยของระบบเว็บแอพพลิเคชันไว้จำนวนมาก พร้อมทั้งแนะนำแนวทางป้องกันที่เป็นรูปธรรม สามารถนำมาใช้ปฏิบัติได้เพื่อป้องกันไม่ให้ระบบเว็บแอพพลิเคชันเกิดช่องโหว่ และถูกจู่โจมลักลอบใช้งานหรืออาจจะถูกเข้าถึงข้อมูลและนำไปใช้โดยผู้ที่ไม่พึงประสงค์ แนวทาง OWASP จุดอ่อนทางด้านการรักษาความปลอดภัยข้อมูล 10 อันดับแรก ที่ OWASP แนะนำไว้มีดังต่อไปนี้ 1.    Cross Site Scripting 2.    Injection Flaws 3.    Malicious File Execution 4.    Insecure Direct Object Reference 5.    Cross Site Request Forgery (CSRF) 6.    I...
อ่านเพิ่มเติม