Application Security

16. ทดสอบกระโดดข้ามแอพพลิเคชัน สิ่งที่เราต้องการที่สุดของ Single Sign-On คือคุณสมบัติที่ทำให้ผู้ใช้ล็อกอินเข้ามาผ่านทางระบบใดระบบหนึ่งแล้วสามารถกระโดดไปใช้งานในอีกระบบหนึ่งได้โดยไม่จำเป็นต้องล็อกอินซ้ำ ในขั้นตอนนี้จะสร้างแอพพลิเคชันขึ้น 3 ตัว โดย app1 กับ app2 จะเป็น PHP ส่วน app3 จะเป็น Java โดยไฟล์ที่ใช้ทดสอบจะอยู่ที่โฟลเดอร์ setup/samples เรียบร้อยแล้ว เพียงแต่ก็อปปีมาวางไว้ที่ c:\sso และกำหนดค่าคอนฟิกของ httpd.conf กับ shibboleth2.xml ให้ถูกต้อง 16.1 สร้างแอพพลิเคชัน app1 และ app2 และแก้ไขไฟล์ httpd.conf ก็อปปีโฟลเดอร์ app1 และ app2 จาก c:\sso\setup\samples วางไว้ที่ c:\sso แล้วเปิดไฟล์ httpd.conf จากโฟลเดอร์ c:\sso\Apache2.2\conf ขึ้นมาแก้ไขดังนี้ รูปภาพ 91 เพิ่ม Alias, Directory และ Location เข้าไปเพื่อกำหนดตำแหน่ง app1 และ app2 ให้เพิ่ม index.php ให้กับ dir module ดังนี้ รูปภาพ 92 เพิ่ม index.php เพื่อให้มองเห็นไฟล์ index.php เวลาที่เบราซ์เข้ามาด้วยชื่อไดเร็คทอรีได้ บันทึกไฟล์ httpd.conf ไว้แล้วไปที่ขั้นต่อไป 16.2 แก้ไขไฟล์ shibboleth2.xml เป...

15. จัดเตรียมแอททริบิวท์ แอททริบิวท์คือข้อมูลที่จะถูกส่งจากระบบ Login Module ของ IdP กลับมาที่ SP หลังจากที่ล็อกอินผ่านแล้ว โดยปกติแล้วเราอาจจะต้องการข้อมูลบางอย่างเช่น ชื่อ นามสกุล เบอร์โทร ตำแหน่งงาน ของผู้ใช้ซึ่งข้อมูลเหล่านี้มักจะมีเก็บไว้ในระบบ LDAP อยู่แล้ว เพียงแต่เราจำเป็นต้องบอกให้ IdP ส่งข้อมูลเหล่านี้ออกมาด้วย 15.1 ตรวจสอบว่ามีแอททริบิวท์อะไรบ้างด้วยไฟล์ shibenv.php ก่อนอื่นเราจำเป็นต้องตรวจสอบก่อนว่ามีแอททริบิวท์อะไรบ้างที่รับมาจาก IdP โดยก็อปปีไฟล์ shibenv.php จากโฟลเดอร์ c:\sso\setup\samples\app1 มาวางไว้ที่โฟลเดอร์ c:\sso\Apache2.2\htdocs\secure แล้วทดลองเบราซ์ไปที่ไฟล์ shibenv.php ผ่านทางหน้าต่างเบราเซอร์ โดยไปที่ http://127.0.0.1/secure/shibenv.php ซึ่งควรจะได้ผลลัพธ์ดังนี้ รูปภาพ 83 พบว่าไม่มี REMOTE_USER หรือแอททริบิวท์เพิ่มเติมใดๆส่งมาจาก IdP เมื่อรันไฟล์ shibenv.php เราจะพบว่าแอททริบิวท์ยังไม่ถูกส่งมาจาก IdP เช่น REMOTE_USER ยังไม่มีค่า ซึ่งหากเป็นเช่นนี้จะทำให้แอพพลิเคชันของเราไม่สามารถตรวจสอบได้ว่าใครเป็นผู้เข้ามาใช้งานระบบเราอยู่ในปัจจุบัน 1...

13. ติดตั้ง Apache Directory Service (LDAP) เพื่อใช้งาน LDAP ให้ติดตั้ง Apache DS โดยไปดับเบิลคลิกไฟล์ apacheds-1.5.4-setup.exe รูปภาพ 51 ดับเบิลคลิกไฟล์ apacheds-1.5.4-setup.exe เพื่อติดตั้งระบบ LDAP คลิกปุ่ม Next > ไปจนถึงหน้าที่ให้กำหนดตำแหน่งโฟลเดอร์ รูปภาพ 52 เลือกติดตั้ง Apache Directory Service ไว้ที่ c:\sso\apacheds คลิกปุ่ม Next > ไปถึงหน้าที่ให้กำหนดตำแหน่งที่วาง JDK รูปภาพ 53 ชี้ที่วาง JDK ไปที่ c:\sso\setup\jdk1.6.0_10\ คลิกปุ่ม Install เพื่อดำเนินการติดตั้ง จนกระทั่งถึงขั้นตอนสุดท้ายคลิกปุ่ม Finish สิ้นสุดการติดตั้ง รูปภาพ 54 ถามว่าจะสตาทร์ Apache Directory Service ไว้ทันทีหรือไม่ ให้ตอบว่า Yes 13.1 ติดตั้ง Apache Directory Studio เพื่อให้เราสามารถเปิดดูข้อมูลที่เก็บอยู่ใน LDAP ได้ ให้ติดตั้งโปรแกรม Apache Directory Studio โดยดับเบิลคลิกที่ไฟล์ ApacheDirectoryStudio-win32-1.3.0.v20081020.exe เมื่อปรากฏ Setup Wizard ที่หน้าระบุตำแหน่งที่วาง ให้ติดตั้งไว้ที่โฟลเดอร์ c:\sso\Apache Directory Studio ดังนี้ รูปภาพ 55...