¿Es posible usar Shibboleth 2 con Nginx + Passenger?

Respuestas:

8

No hasta que FastCGI admita el modo "autorizador". La documentación de Shibboleth 2 describe una aplicación FastCGI SP pero explica que no funciona con Nginx porque carece del modo "autorizador" necesario para el filtro.

Un hilo de Nginx muestra que muchas personas quieren el modo "autorizador" pero es demasiado difícil de implementar. Cuando la gente lo intenta, se rinde .

El póster Alex en este hilo de Rails comparte el código Ruby para la autenticación Shibboleth, pero parece haber usado Apache. Otros carteles que usan Nginx todavía no pudieron hacerlo funcionar.

Turadg
fuente
1

Si es posible. Instale y configure el nginx-http-shibbolethmódulo para nginx, que proporciona la capacidad para que nginx entienda las partes de la especificación del autorizador FastCGI que nginx puede admitir ; suficiente para que la autenticación Shibboleth tenga éxito. Su instalación requiere FastCGI acumulación del proveedor de servicios de Shibboleth (SP) y la configuración apropiada de nginx para comunicarse con los shibauthorizery shibresponderFastCGI aplicaciones.

Todas las aplicaciones y entornos de back-end pueden admitirse de alguna manera, suponiendo que admitan encabezados HTTP o variables de entorno establecidas desde nginx. Pasar los atributos de Shibboleth a su aplicación es a través de variables de entorno nginx (a través de shib_request_set) o bien a través shib_request_use_headers on;de encabezados HTTP (tenga cuidado con la suplantación de identidad). Nunca he usado Passenger para alojar una aplicación, pero en su caso, parece que podría usar passenger_env_vary shib_request_setobtener atributos Shibboleth en su aplicación.

El proceso de configuración completo se encuentra en el repositorio de GitHub en https://github.com/nginx-shib/nginx-http-shibboleth .

Descargo de responsabilidad: soy el responsable actual de ese módulo.

Nota : este módulo reemplaza todas las publicaciones de blog o entradas de wiki anteriores que podría haber escrito anteriormente.

davidjb
fuente