注意事项
- 本文档用途:1)供已经提交CARSI全资格会员申请并进入IdP调试阶段的学校管理员使用。2)供IdP已上线学校升级IdP版本使用。详见IdP4:将IdP 从v3.4.3/v3.4.7升级到v4.1.7。
- CARSI项目、CARSI IdP和SP的基本概念和介绍性材料,参见https://www.carsi.edu.cn、/wiki/spaces/CAR/pages/4423620 和 /wiki/spaces/CAR/pages/1867722。
- 请确认已仔细了解/wiki/spaces/CAR/pages/4423692。
安装部署IdP4.1.7与部署IdP4.1.4的主要区别
- IdP4.1.7版本有效防范了Spring Framework RCE vulnerability漏洞。版本内容变动详见shibboleth官网。
- 除安装IdP4.1.7(第3/11步)有变化之外,其他步骤没有任何改变。
安装部署IdP4.1.7与部署IdP3.4.7的主要区别
- Web容器工具由Tomcat变更到Jetty,采用Jetty9.4版本。
- 为何选用Jetty:1)Shibboleth IdP4的主要工作基于Jetty完成;2)Jetty比Tomcat更高效,启动时间更短。
- 增加了pairwise-id属性的配置和释放。目前共释放四个属性,分别为:eduPersonScopedAffiliation、eduPersonEntitlement、eduPersonTargetedID、pairwise-id。pairwise-id属性的取值与eduPersonTargetedID相同,均为persistent-id,将逐步替换eduPersonTargetedID。新版本IdP在idp-audit.log日志中增加输出了pairwise-id属性。
- 采用普通用户carsi进行远程登录和系统安装,对权限要求高的步骤通过sudo完成。
- 参照等保2.0标准,或者在安装脚本中完成配置,或者进行文字提醒。
脚本方式安装部署CARSI IdPv4.1.7步骤
IdP4:安装前的准备步骤(第1/11步):开始安装IdP之前,需要进行的准备工作,包括:系统环境、IdP域名、NTP服务、IPv6、学生身份认证系统情况等。
...