| eduPersonScopedAffiliation |
|---|
| schacHomeOrganizationType |
| eduPersonPrincipalName |
| eduPersonEntitlement |
**Info** Egy SP a [Resource Registry](https://help.edu.hu/books/aai/page/resource-registry)-ben jelezheti, hogy milyen NameID formátumokat támogat. Ha kizárólag perzisztens NameID formátumot támogat, akkor vagy kap az IdP-től ilyet, vagy hiba lép fel a válasz feldolgozása során.
#### eduPersonTargetedID| eduPersonTargetedID | |
|---|---|
| **Elnevezés** | **URI:** urn:mace:dir:attribute-def:eduPersonTargetedID **OID:** 1.3.6.1.4.1.5923.1.1.1.10 |
| **Rövid leírás** | **Nem átlátszó**, **célzott** azonosító, amely **nem osztható ki újra** |
| **Implementáció** | kötelező |
| **Részletes leírás** | Lásd: [https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPTargetedID](https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPTargetedID) , ill. a fenti megjegyzést az implementációs szinttel kapcsolatban. Az SP a kapott értéket fel kell, hogy dolgozza, nem adhatja XML formátumban tovább az alkalmazásnak. A benne szereplő ún. qualifier-ek közül az IdP azonosítóját (`NameQualifier`) és természetesen magát az azonosítót *kötelező* szerepeltetni az alkalmazás számára átadott azonosítóban. Javasolt az egyes mezőket '!' karakterrel elválasztani egymástól. Az IdP-nek biztosítania kell, hogy egy felhasználó számára kiosztott azonosító valóban perzisztens legyen, tehát gondoskodnia kell az attribútum-értékek biztos tárolásáról - például egy megfelelő mentési tervvel üzemeltetett relációs adatbázisban. Az eduPersonTargetedID **nem osztható ki újra**. |
| **Lehetséges értékek** | nincs korlátozás |
| **Értékek száma** | `single` |
| **Szintaktika** | Az attribútum értékének a SAML2 szabványban definiált NameID formátumúnak kell lennie; az azonosító (nem számítva az XML attribútumokat) legfeljebb 256 karakterből állhat. |
| **Példa** | Az IdP ilyen formában adja ki az azonosítót: ```
NameQualifier="https://idp.example.org/idp/shibboleth" SPNameQualifier="https://sp.example.org/shibboleth"> 84e411ea-7daa-4a57-bbf6-b5cc52981b73 |
| eduPersonPrincipalName | |
|---|---|
| **Elnevezés** | **URI:** urn:mace:dir:attribute-def:eduPersonPrincipalName **OID:** 1.3.6.1.4.1.5923.1.1.1.6 |
| **Rövid leírás** | **Állandó**, **nem célzott**, **nem újra kiosztható** egyedi azonosító |
| **Implementáció** | kötelező |
| **Részletes leírás** | Formátum: <egyedi\_lokális\_azonosító>@ Ahol - **<egyedi\_lokális\_azonosító>**: tetszőleges állandó azonosító, amely az intézményen belül egyértelműen azonosítja a felhasználót. Kézenfekvő megoldás a felhasználói azonosító (**uid**) használata, azonban bármilyen más azonosító használható - : helyi biztonsági tartomány. A végződése kötelezően egy DNS domain, amely az IdP-t üzemeltető intézmény tulajdonában áll. **Megjegyzés**: az **eduPersonPrincipalName** érzékeny személyes adat, hiszen sok esetben megegyezik a felhasználó e-mail címével. Intézményen belüli használata javasolt, intézményen kívül célszerű nem átlátszó, célzott azonosítót használni. Az eduPersonPrincipalName a föderációban **nem osztható ki újra**. Bizonyos alkalmazások nem támogatják a különleges karaktereket az azonosítókban, ezért a föderációban az eduPersonPrincipalName kizárólag alfanumerikus karaktereket, pont ('.'), kötőjel ('-') és alulvonás ('\_') karaktereket tartalmazhat. |
| **Lehetséges értékek** | nincs korlátozás |
| **Értékek száma** | `single` |
| **Szintaktika** | `Directory String` |
| **Adatgazda** | intézmény |
| **Példa** | gipsz.jakab@example.org |
| niifPersonOrgID | |
|---|---|
| **Elnevezés** | **URI:** urn:mace:dir:attribute-def:eduPersonPrincipalName **OID:** 1.3.6.1.4.1.11914.0.1.154 |
| **Rövid leírás** | Állandó egyedi azonosító intézményen belüli, ill. e-learning használatra |
| **Implementáció** | opcionális |
| **Részletes leírás** | Bizonyos esetekben adatvédelmi szempontok miatt szükség lehet arra, hogy a felhasználó intézményen belüli azonosítója (pl. Neptun kódja) és az egyéb alkalmazásokban használt `uid` különböző legyen. Ezen attribútum intézmények közötti átadása csak abban az esetben javasolt, ha e-learning rendszerek miatt meg kell osztani a tanulmányi azonosítót. |
| **Lehetséges értékek** | nincs korlátozás |
| **Értékek száma** | `single` |
| **Szintaktika** | `Directory String` |
| schacPersonalUniqueCode | |
|---|---|
| **Elnevezés** | **URI:** nincs megadva **OID:** 1.3.6.1.4.1.25178.1.2.14 |
| **Rövid leírás** | Állandó egyedi azonosító interföderációs környezetben való használatra |
| **Implementáció** | opcionális |
| **Részletes leírás** | - |
| **Lehetséges értékek** | nincs korlátozás |
| **Értékek száma** | `multi` |
| **Szintaktika** | `Directory String` |
| **Példa** | `urn:schac:personalUniqueCode:hu:bme.hu:Neptun:gmx3f0` |
| sn | |
|---|---|
| **Elnevezés** | **URI:** urn:mace:dir:attribute-def:sn **OID:** 2.5.4.4 |
| **Rövid leírás** | A felhasználó vezetékneve |
| **Implementáció** | opcionális |
| **Részletes leírás** | A felhasználó vezetékneve. Amennyiben több vezetékneve van a felhasználónak, akkor ezeket egyetlen értékben kell tárolni. |
| **Lehetséges értékek** | nincs korlátozás |
| **Értékek száma** | `single` |
| **Szintaktika** | `Directory String` |
| **Példa** | - Gipsz - Gipszné Kiss |
| givenName | |
|---|---|
| **Elnevezés** | **URI:** urn:mace:dir:attribute-def:givenName **OID:** 2.5.4.42 |
| **Rövid leírás** | A felhasználó keresztneve |
| **Implementáció** | opcionális |
| **Részletes leírás** | Amennyiben több keresztneve van a felhasználónak, ezeket egyetlen értékben kell tárolni. |
| **Lehetséges értékek** | nincs korlátozás |
| **Értékek száma** | `single` |
| **Szintaktika** | `Directory String` |
| **Példa** | - Jakab - Mária Lujza |
| displayName | |
|---|---|
| **Elnevezés** | **URI:** urn:mace:dir:attribute-def:displayname **OID:** 2.16.840.1.113730.3.1.241 |
| **Rövid leírás** | A felhasználó megjelenítendő neve |
| **Implementáció** | ajánlott |
| **Részletes leírás** | A felhasználó neve abban a formában, ahogy a felhasználó, vagy a felhasználó intézménye meg kívánja jeleníteni. |
| **Lehetséges értékek** | nincs korlátozás |
| **Értékek száma** | `single` |
| **Szintaktika** | `Directory String` |
| **Példa** | Gipsz Jakab Aladár |
| **Elnevezés** | **URI:** urn:mace:dir:attribute-def:mail **OID:** 0.9.2342.19200300.100.1.3 |
| **Rövid leírás** | A felhasználó email címe |
| **Implementáció** | ajánlott |
| **Részletes leírás** | A felhasználó értesítési e-mail címe. Az így átadott email címről az intézmény biztosítja, hogy - azt az intézmény biztosítja a felhasználó részére (pl neptunkod@intemzeny.hu) - vagy az intézmény a cím rögzítésekor ellenőrizte, hogy az a felhasználó tulajdonában van (pl egy megerősítő levél kiküldésével). Az attribútumban ellenőrizetlen, felhasználó által megadott email címet átadni tilos. |
| **Lehetséges értékek** | Létező e-mail cím |
| **Értékek száma** | `multi` |
| **Szintaktika** | `Lásd: [RFC 2822](http://www.faqs.org/rfcs/rfc2822.html)` |
| **Példa** | gipsz.jakab@example.org |
| preferredLanguage | |
|---|---|
| **Elnevezés** | **URI:** urn:mace:dir:attribute-def:preferredLanguage **OID:** 2.16.840.1.113730.3.1.39 |
| **Rövid leírás** | Előnyben részesített nyelv |
| **Implementáció** | opcionális |
| **Részletes leírás** | A felhasználó által elsődlegesen használni kívánt, általa előnyben részesített nyelv |
| **Lehetséges értékek** | RFC 2068 Language Tags szekcióban meghatározott formátumú nyelvkódok |
| **Értékek száma** | `single` |
| **Szintaktika** | `Directory String` |
| **Példa** | hu |
| schacDateOfBirth | |
|---|---|
| **Elnevezés** | **URI:** nincs megadva **OID:** 1.3.6.1.4.1.25178.1.2.3 |
| **Rövid leírás** | A felhasználó születési dátuma |
| **Implementáció** | opcionális |
| **Részletes leírás** | - |
| **Lehetséges értékek** | YYYYMMDD (RFC 3339 'full-date') formátumú dátum |
| **Értékek száma** | `single` |
| **Szintaktika** | `Directory String` |
| **Példa** | 19700101 |
| schacYearOfBirth | |
|---|---|
| **Elnevezés** | **URI:** nincs megadva **OID:** 1.3.6.1.4.1.25178.1.0.2.3 |
| **Rövid leírás** | A felhasználó születési éve (amennyiben csak az évre van szükség, egyébként ajánlott a [schacDateOfBirth](#bkmrk-schacdateofbirth) használata) |
| **Implementáció** | opcionális |
| **Részletes leírás** | - |
| **Lehetséges értékek** | YYYY formátumú év |
| **Értékek száma** | `single` |
| **Szintaktika** | `Directory String` |
| **Példa** | 1970 |
| schacPersonalTitle | |
|---|---|
| **Elnevezés** | **URI:** nincs megadva **OID:** 1.3.6.1.4.1.25178.1.2.8 |
| **Rövid leírás** | A felhasználó személyes megszólítása. |
| **Implementáció** | opcionális |
| **Részletes leírás** | A felhasználó nevéhez kapcsolódó megszólítás, mely a teljes név elé fűzhető. A címtárban tárolható a [niifPersonPrefix](https://help.edu.hu/books/aai/page/niifschema) attribútumban is. |
| **Lehetséges értékek** | nincs korlátozás |
| **Értékek száma** | `single` |
| **Szintaktika** | `Directory String` |
| **Példa** | - Dr. - Prof. |
| niifPersonMothersName | |
|---|---|
| **Elnevezés** | **URI:** nincs megadva **OID:** 1.3.6.1.4.1.11914.0.1.157 |
| **Rövid leírás** | Felhasználó anyja neve |
| **Implementáció** | opcionális |
| **Részletes leírás** | A felhasználó anyjának születési neve a felhasználó hivatalos irataiban. |
| **Lehetséges értékek** | nincs korlátozás |
| **Értékek száma** | `single` |
| **Szintaktika** | `Directory String` |
| **Példa** | Kőkori Vilma |
| niifPersonResidentalAddress | |
|---|---|
| **Elnevezés** | **URI:** nincs megadva **OID:** 1.3.6.1.4.1.11914.0.1.159 |
| **Rövid leírás** | A felhasználó állandó lakcíme |
| **Implementáció** | opcionális |
| **Részletes leírás** | - |
| **Lehetséges értékek** | nincs korlátozás |
| **Értékek száma** | `single` |
| **Szintaktika** | `Directory String` |
| **Példa** | 1111 Budapest, Villányi út 155. |
| homePostalAddress | |
|---|---|
| **Elnevezés** | **URI:** nincs megadva **OID:** 0.9.2342.19200300.100.1.39 |
| **Rövid leírás** | A felhasználó ideiglenes lakcíme |
| **Implementáció** | opcionális |
| **Részletes leírás** | - |
| **Lehetséges értékek** | nincs korlátozás |
| **Értékek száma** | `multi` |
| **Szintaktika** | `Directory String` |
| **Példa** | 1111 Budapest, Villányi út 155. |
| telephoneNumber | |
|---|---|
| **Elnevezés** | **URI:** nincs megadva **OID:** 2.5.4.20 |
| **Rövid leírás** | A felhasználó vezetékes telefonszáma |
| **Implementáció** | opcionális |
| **Részletes leírás** | - |
| **Lehetséges értékek** | A telefonszámot az [ITU-T E.123 szabvány](https://www.comnap.aq/interoperability/ITU-T-REC-E.123-2001-02.pdf) szerint kell tárolni. A melléket a `/` jellel elválasztva jelölhető. |
| **Értékek száma** | `multi` |
| **Szintaktika** | `Directory String` |
| **Példa** | - +36 1 123 1234 - +36 1 123 1234 / 102 |
| mobile | |
|---|---|
| **Elnevezés** | **URI:** nincs megadva **OID:** 0.9.2342.19200300.100.1.41 |
| **Rövid leírás** | A felhasználó mobilszáma |
| **Implementáció** | opcionális |
| **Részletes leírás** | - |
| **Lehetséges értékek** | A telefonszámot az [ITU-T E.123 szabvány](https://www.comnap.aq/interoperability/ITU-T-REC-E.123-2001-02.pdf) szerint kell tárolni. |
| **Értékek száma** | `multi` |
| **Szintaktika** | `Directory String` |
| **Példa** | +36 30 123 1234 |
| eduPersonNickName | |
|---|---|
| **Elnevezés** | **URI:** nincs megadva **OID:** 1.3.6.1.4.1.5923.1.1.1.2 |
| **Rövid leírás** | A felhasználó beceneve |
| **Implementáció** | opcionális |
| **Részletes leírás** | Az a becenév, amelyet a felhasználó általában használ (pl. online fórumokon). Nem egyedi, a hossza és a tartalma sem kötött, nem állandó, ezért az alkalmazásnak mindenképpen ellenőriznie kell, mielőtt - esetleg - lokális felhasználónévként figyelembe veszi. |
| **Lehetséges értékek** | nincs korlátozás |
| **Értékek száma** | `single` |
| **Szintaktika** | `Directory String` |
| **Adatgazda** | felhasználó |
| **Példa** | - gipszj - the.man.who.was.bored.to.death.by.some.american.smartguys |
| cn | |
|---|---|
| **Elnevezés** | **URI:** nincs megadva **OID:** 2.5.4.3 |
| **Rövid leírás** | A felhasználó teljes neve |
| **Implementáció** | opcionális |
| **Részletes leírás** | A felhasználó vezetéknevének és keresztnevének valamilyen módon történő, szóközzel elválasztott összefűzése. Használata intézményenként és országonként eltérő. Jellemző, hogy több értékben különböző módokon előállított értékeket is tartalmaz. **Helyette a [displayName](#bkmrk-displayname) használata javasolt.** |
| **Lehetséges értékek** | nincs korlátozás |
| **Értékek száma** | `multi` |
| **Szintaktika** | `Directory String` |
| **Példa** | - Gipsz Jakab - Kovács Áron;Kovacs Aron;Aron Kovacs |
| jpegPhoto | |
|---|---|
| **Elnevezés** | **URI:** nincs megadva **OID:** 0.9.2342.19200300.100.1.60 |
| **Rövid leírás** | Kis méretű fotó a felhasználóról JPEG formátumban |
| **Implementáció** | opcionális |
| **Részletes leírás** | - |
| **Lehetséges értékek** | nincs korlátozás |
| **Értékek száma** | `single` |
| **Szintaktika** | `Directory String` |
| labeledUri | |
|---|---|
| **Elnevezés** | **URI:** nincs megadva **OID:** 1.3.6.1.4.1.250.1.57 |
| **Rövid leírás** | Felhasználóhoz tartozó URI-k |
| **Implementáció** | opcionális |
| **Részletes leírás** | A felhasználó által megadott, vagy rá valamilyen formában jellemző URI-k (gyakran URL-ek) gyűjteménye, mint pl. a személyes honlapjának címe. Minden azonosítóhoz opcionálisan kapcsolható szöveges leírás. |
| **Lehetséges értékek** | Az URL-t urlencode-olva kell tárolni (RFC 2079). |
| **Értékek száma** | `multi` |
| **Szintaktika** | `Directory String` |
| **Példa** | - [http://example.com/%7Euser/foo](http://example.com/%7Euser/foo) Foo page - [ftp://ftp.example.com](ftp://ftp.example.com) |
| eduPersonScopedAffiliation | |
|---|---|
| **Elnevezés** | **URI:** urn:mace:dir:attribute-def:eduPersonScopedAffiliation **OID:** 1.3.6.1.4.1.5923.1.1.1.9 |
| **Rövid leírás** | Felhasználó és intézmény közti viszony leírása |
| **Implementáció** | kötelező |
| **Részletes leírás** | **<viszony>@<\\scope>**- **<viszony>**: a felhasználó és az intézmény közti viszony leírására az alábbi értékek választhatók - *student*: intézmény hallgatója - *faculty*: oktatási tevékenységet végez az intézményben - *staff*: nem oktatási tevékenységet végző alkalmazott (pl. a rendszergazda és a kertész is) - *employee*: alkalmazott (használata intézmények között nem javasolt) - *member*: azok a felhasználók, amelyek azáltal, hogy azonosította őket az IdP, rendelkeznek intézményhez kötődő általános jogosultságokkal. Jellemzően ide sorolhatók a *student*, *faculty*, *staff* viszonnyal rendelkezők. - *affiliate*: az intézmény azonosítja őket, de nem rendelkeznek általános jogosultságokkal - *alum*: öregdiák - *library-walk-in*: könyvtári tag **Megjegyzés:** lehetséges, hogy a föderációban használható értékek körét a későbbiekben szűkíteni fogjuk - **<scope>**: helyi biztonsági tartomány. A végződése kötelezően egy DNS domain, amely az IdP-t üzemeltető intézmény tulajdonában áll. Lásd még: [http://software.internet2.edu/eduperson/internet2-mace-dir-eduperson-201310.html#eduPersonAffiliation](http://software.internet2.edu/eduperson/internet2-mace-dir-eduperson-201310.html#eduPersonAffiliation) [Egy lehetséges vizuális ábrázolás](#bkmrk-edupersonscopedaffiliation), azonban a halmazok pontos meghatározása az intézmény feladata. |
| **Lehetséges értékek** | A következő értékek egyike: {student,faculty,staff,employee,member,affiliate,alum,library-walk-in}, valamint a [Scope](https://help.edu.hu/books/aai/page/scope) |
| **Értékek száma** | `multi` |
| **Szintaktika** | `Directory String` |
| **Adatgazda** | intézmény |
| **Példa** | - Hallgatók: *student@example.org;member@example.org* - Oktatók: *faculty@example.org;employee@example.org;member@example.org* - Nem alkalmazott oktató-hallgatók: *student@example.org;faculty@example.org;member@example.org* |
| eduPersonEntitlement | |
|---|---|
| **Elnevezés** | **URI:** urn:mace:dir:attribute-def:eduPersonEntitlement **OID:** 1.3.6.1.4.1.5923.1.1.1.7 |
| **Rövid leírás** | A felhasználó által jogosan használt erőforrás(ok) |
| **Implementáció** | ajánlott |
| **Részletes leírás** | Azon erőforrások listája, melyet a felhasználó használhat. Sok erőforrást minden felhasználó elérhet, néhányat csak korlátozott kör - ez utóbbi esetben válik fontossá ez az attribútum > **Info** > Az eduPersonEntitlement attribútumnak csak azon értékeit szabad kiadni az SP-nek, amelyek rá vonatkoznak. Ennek meghatározása kézi adminisztráció esetén igen nehéz lehet, ezért erre célszerű valamilyen adminisztrációs felületet használni. (Sajnos jelenleg nem létezik ilyen alkalmazás.) |
| **Lehetséges értékek** | nincs korlátozás |
| **Értékek száma** | `multi` |
| **Szintaktika** | `Directory String` |
| **Adatgazda** | intézmény |
| **Példa** | urn:geant:niif.hu:niif:entitlement:vhoadmin |
| schacHomeOrganizationType | |
|---|---|
| **Elnevezés** | **URI:** urn:mace:dir:attribute-def:schacHomeOrganizationType **OID:** 1.3.6.1.4.1.25178.1.2.10 |
| **Rövid leírás** | Az intézmény jellege |
| **Implementáció** | kötelező |
| **Részletes leírás** | - **university**: Az Oktatási Minisztérium által elismert felsőoktatási intézmények (egyetemek és főiskolák) - **nren**: Nemzeti kutatási és felsőoktatási kutatói hálózat szolgáltatója - **library**: Könyvtárak - **vho**: Virtuális azonosító szervezet egyének föderációs azonosítása céljára - **school**: Általános és középiskolák - **business**: Ipari vagy kereskedelmi intézmények - **other**: Egyéb - **test**: Teszt felhasználóról van szó |
| **Lehetséges értékek** | urn:schac:homeOrganizationType:hu:{university,nren,library,vho,school,business,other,test} |
| **Értékek száma** | `single` |
| **Szintaktika** | `URN` |
| **Adatgazda** | intézmény |
| ou | |
|---|---|
| **Elnevezés** | **URI:** urn:mace:dir:attribute-def:ou **OID:** 2.5.4.11 |
| **Rövid leírás** | Az intézményen belüli egység teljes neve (organizationalUnit) |
| **Implementáció** | opcionális |
| **Részletes leírás** | Azon egység (tanszék, intézet, könyvtár, stb) neve, amelyhez a felhasználó tartozik. |
| **Lehetséges értékek** | nincs korlátozás |
| **Értékek száma** | `single` |
| **Szintaktika** | `Directory String` |
| **Példa** | Automatizálási és alkalmazott informatikai tanszék |
| eduPersonOrgUnitDN | |
|---|---|
| **Elnevezés** | **URI:** urn:mace:dir:attribute-def:eduPersonOrgUnitDN **OID:** 1.3.6.1.4.1.5923.1.1.1.4 |
| **Rövid leírás** | A felhasználóhoz tartozó szervezeti egység azonosítója |
| **Implementáció** | opcionális |
| **Részletes leírás** | A felhasználóhoz tartozó szervezeti egység (pl. tanszék, intézet, könyvtár, ...) intézményen belüli egyedi, esetleg hierarchikusan képzett azonosítója. Amennyiben az adott felhasználó több egységhez is besorolható, ez az attribútum több értéket is tartalmazhat. |
| **Lehetséges értékek** | nincs korlátozás |
| **Értékek száma** | `multi` |
| **Szintaktika** | `DN` |
| **Adatgazda** | intézmény |
| eduPersonPrimaryOrgUnitDN | |
|---|---|
| **Elnevezés** | **URI:** urn:mace:dir:attribute-def:eduPersonPrimaryOrgUnitDN **OID:** 1.3.6.1.4.1.5923.1.1.1.8 |
| **Rövid leírás** | A felhasználóhoz hozzárendelhető elsődleges szervezeti egység azonosítója. |
| **Implementáció** | opcionális |
| **Részletes leírás** | Az [eduPersonOrgUnitDN](#bkmrk-edupersonorgunitdn)-ben tárolt egység-azonosítók közül azon elem, amelyhez a felhasználó elsődlegesen köthető. |
| **Lehetséges értékek** | Egy olyan azonosító, mely szerepel az [eduPersonOrgUnitDN](#bkmrk-edupersonorgunitdn) értékei között. |
| **Értékek száma** | `single` |
| **Szintaktika** | `DN` |
| **Adatgazda** | intézmény |
| niifPersonAttendedCourse | |
|---|---|
| **Elnevezés** | **URI:** urn:geant:niif.hu:dir:attribute-def:niifEduPersonAttendedCourse **OID:** 1.3.6.1.4.1.11914.0.1.164 |
| **Rövid leírás** | Felhasználó által hallgatott tárgy kódja |
| **Implementáció** | opcionális |
| **Részletes leírás** | Azon tantárgyak kódja, amelyet a felhasználó az adott félévben hallgat. Oktatási intézmény esetén JAVASOLT az attribútumot implementálni és az intézményen belüli SP-k számára kiadni. Adatvédelmi szempontból JAVASOLT az értékeket úgy szűrni, hogy az SP csak a számára releváns tárgyak kódját kapja meg. |
| **Lehetséges értékek** | A tanulmányi rendszerben meghatározott tantárgykódok |
| **Értékek száma** | `multi` |
| **Szintaktika** | `Directory String` |
| **Adatgazda** | intézmény |
| **Példa** | - VIMM1234 - VIMA4321 |
| niifEduPersonArchiveCourse | |
|---|---|
| **Elnevezés** | **URI:** nincs megadva **OID:** 1.3.6.1.4.1.11914.0.1.171 |
| **Rövid leírás** | A felhasználó által valaha hallgatott kurzusok |
| **Implementáció** | opcionális |
| **Részletes leírás** | Azon tantárgyak kódja, amelyet a felhasználó valaha hallgatott az adott intézményben. |
| **Lehetséges értékek** | A tanulmányi rendszerben meghatározott tantárgykódok |
| **Értékek száma** | `multi` |
| **Szintaktika** | `Directory String` |
| **Adatgazda** | intézmény |
| niifEduPersonHeldCourse | |
|---|---|
| **Elnevezés** | **URI:** nincs megadva **OID:** 1.3.6.1.4.1.11914.0.1.172 |
| **Rövid leírás** | A felhasználó által aktuálisan oktatott tárgyak |
| **Implementáció** | opcionális |
| **Részletes leírás** | Azon tantárgyak kódja, amelyet a felhasználó az adott félévben (esetleg előző félévben) oktatott. |
| **Lehetséges értékek** | A tanulmányi rendszerben meghatározott tantárgykódok |
| **Értékek száma** | `multi` |
| **Szintaktika** | `Directory String` |
| **Adatgazda** | intézmény |
| niifEduPersonMajor | |
|---|---|
| **Elnevezés** | **URI:** nincs megadva **OID:** 1.3.6.1.4.1.11914.0.1.162 |
| **Rövid leírás** | A hallgató főszakja |
| **Implementáció** | opcionális |
| **Részletes leírás** | A hallgató főszakja - a [mab.hu](http://web.mab.hu/joomla/index.php?option=com_content&view=article&id=87&Itemid=623&lang=hu) oldalán található lista alapján |
| **Lehetséges értékek** | nincs korlátozás |
| **Értékek száma** | `multi` |
| **Szintaktika** | `Directory String` |
| **Adatgazda** | intézmény |
| **Példa** | - műszaki informatikus mérnök - elméleti fizikus |
| niifEduPersonFaculty | |
|---|---|
| **Elnevezés** | **URI:** nincs megadva **OID:** 1.3.6.1.4.1.11914.0.1.160 |
| **Rövid leírás** | Kar neve |
| **Implementáció** | opcionális |
| **Részletes leírás** | Teljes neve annak a karnak, amelyhez a hallgató tartozik |
| **Lehetséges értékek** | nincs korlátozás |
| **Értékek száma** | `multi` |
| **Szintaktika** | `Directory String` |
| **Adatgazda** | intézmény |
| **Példa** | Villamosmérnöki és Informatikai Kar |
| niifEduPersonFacultyDN | |
|---|---|
| **Elnevezés** | **URI:** nincs megadva **OID:** 1.3.6.1.4.1.11914.0.1.161 |
| **Rövid leírás** | A hallgató karának DN-je |
| **Implementáció** | opcionális |
| **Részletes leírás** | - |
| **Lehetséges értékek** | nincs korlátozás |
| **Értékek száma** | `multi` |
| **Szintaktika** | `DN` |
| **Adatgazda** | intézmény |
| niifEduPersonStudentCategory | |
|---|---|
| **Elnevezés** | **URI:** nincs megadva **OID:** 1.3.6.1.4.1.11914.0.1.174 |
| **Rövid leírás** | Tanuló/hallgató képzési szintjének meghatározása |
| **Implementáció** | opcionális |
| **Részletes leírás** | A hallgató képzési szintjének pontosabb meghatározása (az [eduPersonScopedAffiliation](#bkmrk-edupersonscopedaffiliation) kiegészítése) - **bachelor**: bachelor képzésben részt vevő hallgató (javasolt [affiliation](#bkmrk-edupersonscopedaffiliation): student,member) - **master**: master képzésben részt vevő hallgató (javasolt [affiliation](#bkmrk-edupersonscopedaffiliation): student,member) - \* **doctor**: doktori képzésben részt vevő hallgató (javasolt [affiliation](#bkmrk-edupersonscopedaffiliation): student,member) - **exchange-student**: vendéghallgató (javasolt [affiliation](#bkmrk-edupersonscopedaffiliation): student,member) - **qualifying-studies**: előkészítős hallgató (javasolt [affiliation](#bkmrk-edupersonscopedaffiliation): member) - **open-university**: nyílt egyetemi képzésben részt vevő hallgató (javasolt [affiliation](#bkmrk-edupersonscopedaffiliation): affiliate) Ha egy hallgató nem sorolható be egyik kategóriába sem (pl. nem bolognai rendszer szerint tanul), akkor az attribútum ne kapjon értéket! |
| **Lehetséges értékek** | nincs korlátozás |
| **Értékek száma** | `multi` |
| **Szintaktika** | `Directory String` |
| **Adatgazda** | intézmény |
ENTITYID https://idp.niif.hu/idp/shibboleth APIKEY 0123....... DATE 2009-03-18 STAT AUTH 68 logins STAT USER_COUNT 16 unique userids STAT SSO_TO_SERVICE 1 | urn:geant:niif.hu:niifi:sp:register.ca.niif.hu 12 | https://repo.niif.hu/shibboleth 1 | https://sandbox.aai.niif.hu/shibboleth 5 | https://sysmonitor.hbone.hu/shibboleth 10 | https://www.ki.iif.hu/shibboleth 1 | https://noc6.vh.hbone.hu/shibboleth 21 | https://webadmin.iif.hu/shibboleth 3 | https://rrd-ma.perfsonar.vh.hbone.hu/shibboleth 7 | https://ugyeletes.vh.hbone.hu/shibboleth 2 | https://noc.grid.niif.hu/shibboleth 1 | https://wiki.voip.niif.hu/shibboleth 2 | https://netmonitor.hbone.hu/shibboleth 2 | https://idp.sch.bme.hu:443/opensso/sp/test## Running the log statistics collector This following script can be used the collect statistics from the idp audit logs of Shibboleth 2 IdP generated on the day before running. It is based on Peter Schober's audit_r7.py, and good for run from daily cronjob: ```bash #!/bin/bash #Config section PARSER_COMMAND="/opt/shibboleth-idp/bin/audit_r7.py" SOURCEDIR="/opt/shibboleth-idp/logs" TARGETDIR="/tmp" ENTITYID="idp-entity-id" APIKEY="aaa..." LOCATION2PUT="https://fedstats.example.org/import_stats" DATE=`date -d "yesterday" +"%Y-%m-%d"` SOURCEFILE="$SOURCEDIR/idp-audit-$DATE.log" #Should not edit below this if [-f $SOURCEFILE ]() then LOGINS=`$PARSER_COMMAND -l $SOURCEFILE` UNIQUE_LOGINS=`$PARSER_COMMAND -u $SOURCEFILE` SERVICES=`$PARSER_COMMAND -p $SOURCEFILE | sed '/^[0-9]/p' -n` TARGETFILE="stat-$DATE.log" echo "ENTITYID $ENTITYID APIKEY $APIKEY DATE $DATE STAT AUTH $LOGINS STAT USER_COUNT $UNIQUE_LOGINS STAT SSO_TO_SERVICE $SERVICES " > $TARGETDIR/$TARGETFILE wget -q --no-check-certificate --post-file=$TARGETDIR/$TARGETFILE $LOCATION2PUT -O /dev/null rm $TARGETDIR/$TARGETFILE fi ``` The script below can be used the collect statistics from all the idp audit logs placed in a folder. ```bash #!/bin/bash #Config section PARSER_COMMAND="/opt/shibboleth-idp/bin/audit_r7.py" SOURCEDIR="/opt/shibboleth-idp/logs" TARGETDIR="/tmp" ENTITYID="idp-entity-id" APIKEY="aaa..." LOCATION2PUT="https://fedstats.example.org/import_stats" FILES="idp-audit-*.log" #Should not edit below this cd $SOURCEDIR for f in $FILES do if [-f $f ]() then echo "Processing $f file..." DATE=${f:10:10} LOGINS=`$PARSER_COMMAND -l $f` UNIQUE_LOGINS=`$PARSER_COMMAND -u $f` SERVICES=`$PARSER_COMMAND -p $f | sed '/^[0-9]/p' -n` TARGETFILE="stat-$DATE.log" echo "ENTITYID $ENTITYID APIKEY $APIKEY DATE $DATE STAT AUTH $LOGINS STAT USER_COUNT $UNIQUE_LOGINS STAT SSO_TO_SERVICE $SERVICES " > $TARGETDIR/$TARGETFILE wget -q --no-check-certificate --post-file=$TARGETDIR/$TARGETFILE $LOCATION2PUT -O /dev/null rm $TARGETDIR/$TARGETFILE fi done ``` ## Feeding the database with the statistics The federation statistics rails project contains the `script/stat_parser/file.rb` command which can process the statistics format and load the data to the database. Note that this script currently contains an absolute path for the `script/runner` script, so you must fix this before use. ## Using HTTP-Post to feed the database When deployed, the rails project provides a `/import_stats` URL to which one could POST the generated statistics file. ## Creating IdPs Use the rails console to create new idps: $ RAILS_ENV=production script/console >> Entity.create :name => 'foo', :entity_type => 'idp' => #
Authentication Failed
%>/images/logo.jpg){kind=logo}
This login page is an example and should be customized. Refer to the documentation.
The web site described to the right has asked you to log in and you have chosen <FILL IN YOUR SITE> as your home institution.
<% if ("true".equals(request.getAttribute("loginFailed"))) { %>Credentials not recognized.
<% } %> <% if(request.getAttribute("actionUrl") != null){ %>**A szócikk vagy fejezet még megírásra vár** Ha ki tudod egészíteni, megköszönjük!
### SQL (JDBC) alapon A Shibboleth 2 IdP képes az autentikálást szabványos JAAS (Java Authentication and Authorization Service) modulokkal elvégezni, ezért lehetőség van relációs adatbázist használó autentikációs modul használatára is. Számos JAAS modul létezik adatbázisos autentikációra is, azonban ezek vagy túl bonyolultak, vagy nem kellően rugalmasak. Az alábbiakban az NIIF által fejlesztett (a [Tagish/JDBC](http://free.tagish.net/jaas/doc-1.0.3/index.htmlJAAS/JDBC) kódbázisán alapuló) modul beállítását mutatjuk be: - JAAS/JDBC modul megfelelő verziójának [letöltése](http://software.niif.hu/maven2/hu/niif/jaas-jdbc/) - jaas-jdbc-VERSION.jar és adatbázis driver jar bemásolása az idp webalkalmazás (idp.war) WEB-INF/lib könyvtárába - a MySQL Connector/J letölthető a [MySQL oldalról](http://dev.mysql.com/downloads/connector/j/) - MySQL esetén a mysql-connector-java-{verzio}-bin.jar fájlra van szükségünk - handler.xml -ben UsernamePassword login handler engedélyezése és RemoteUser login handler tiltása - login.config ShibUserPassAuth-ban a JDBCLoginModul engedélyezése (a többi JAAS modul legyen kikommentezve!) - adatbázis kapcsolattal összefüggő beállítások: - "hagyományos" megoldás - **dbDriver**: JDBC Driver osztály neve - **dbURL, dbUser, dbPassword**: adatbázis elérési paraméterek - JNDI használata esetén - **jndiResourceName**: DataSource API-t támogató JNDI név (bővebben lásd: [Connection pool leírás](https://help.edu.hu/books/aai/page/shib2idpconnectionpool)) - egyéb beállítások - **usersPreparedStatement**: egy olyan lekérdezés, ami a tárolt elhashelt jelszót kérdezi le egy felhasználónévhez (a felhasználónév helyén a ? karakter kell álljon, a lekérdezés egy vagy nulla sort kell visszaadjon!) - **passwordHashMethod**: a hasheléshez alkalmazott metódus (a használható metódusakat a [Java Cryptography Architecture dokumentáció](http://java.sun.com/j2se/1.5.0/docs/guide/security/CryptoSpec.html#AppA) írja le). A JAAS modul konfigurációja a login.config fájlban: ``` hu.niif.middleware.jaas.JDBCLoginModule required dbDriver="com.mysql.jdbc.Driver" dbURL="jdbc:mysql://databaseHost:3306/databaseName" dbUser="dbuser" dbPassword="randomsecret" usersPreparedStatement="SELECT password FROM users where username=?" passwordHashMethod="MD5"; ``` ### LDAP-ból ellenőrzött X.509 tanúsítvánnyal Ezen autentikációs mód a konténer (pl. Apache) által a klienstől elkért klienstanúsítványt veti össze a felhasználó LDAP bejegyzésében tárolt tanúsítványokkal (`userCertificate`). A modul használatának előfeltételei: - a konténernek támogatnia kell a kliens-tanúsítványokat, azonban a CA ellenőrzés nem követelmény, a felhasználók self-signed tanúsítvánnyal is igénybe vehetik az autentikációs szolgáltatást - az IdP-nek a kérésből el kell érnie a klienstanúsítványt - a tanúsítványban szerepelnie kell a felhasználónévnek (mégpedig az `UID` mezőben) A modul dokumentációja a [ezen az oldalon](https://help.edu.hu/books/aai/page/shibidpx509ldapauthentication) érhető el. ## Autentikáció konténer által ### MySQL Autentikáció Apache-on keresztül Az alábbiakban leírt Apache beállítások elsőre nyakatekertnek tűnhetnek, de az Apache 2.2-es sorozatában előforduló - ez idáig érdemben nem javított - bug miatt ez a megoldás működik csak. Telepíteni kell a MySQL autentikációs Apache modult: ``` apt-get install libapache2-mod-auth-mysql ``` Engedélyezni kell a modul használatát ``` a2enmod auth_mysql ``` Az Apache adott hosthoz tartozó configjában meg kell adni: ``` Auth_MySQL_Info**A szócikk vagy fejezet még megírásra vár** Ha ki tudod egészíteni, megköszönjük!
### LDAP Autentikáció Apache-on keresztül**A szócikk vagy fejezet még megírásra vár** Ha ki tudod egészíteni, megköszönjük!
## Single Sign-on ### IdP Session Az IdP-ben a session-nek nincs rögzített lifetime-ja, hanem aktivitásfüggő timeout értéket lehet beállítani. A jelenlegi IdP-ben az IdP session timeout független a fent megadott `authenticationDuration` értéktől, ezt az `internal.xml` állományban állíthatjuk be: ```xml**Warning** Az entityID a szolgáltatás neve, nem a kiszolgáló számítógépé. Érdemes a neveket úgy megválasztani, hogy egy későbbi gépcsere esetén is független legyen a gépnév a szolgáltatás nevétől.
- `Tűzfal` - Szükséges nyitott portok a *TCP/443* és *TCP/8443*. - `Operációs rendszer és Java futtató-környezet` - A jelen telepítési leírás Debian 8 (Jessie) rendszerhez készült. - Java telepítése - `apt-get install default-jdk` ## Jetty 9.2 telepítés és előkészítés Letöltés: [http://download.eclipse.org/jetty/](http://download.eclipse.org/jetty/) Telepítés menete. ```bash cd /opt tar -xf jetty-distribution-9.2.**Figyelem** Lásd: [log4cpp kontra log4shib](https://help.edu.hu/books/aai/page/log4whatever)
### XML-Security C Ez a csomag igazából része általában a disztribúcióknak, de a Shibboleth 2-nek (és az OpenSAML-nak) >=1.4.0 verzió kell, **ami jelenleg még nincs is kiadva** (2008.04.24.). Hurrá :( Örüljünk, a download könyvtárban meg lehet találni az 1.4.0 verziójú .tar.gz-t. ```bash wget http://xml.apache.org/security/dist/c-library/xml-security-c-1.4.0.tar.gz tar xzf xml-security-c-1.4.0.tar.gz cd xml-security-c-1.4.0 ./configure --prefix=/opt make sudo make install ``` ### xmltooling Az xmltooling log4cpp-vel történő lefordításához szükség van [erre a patch-re](https://help.edu.hu/books/egyeb/page/xmltooling-log4cpp-patch). ``` patch -p0 <../xmltooling_log4cpp5.patch ./configure --prefix=/opt --with-xmlsec=/opt make sudo make install ``` ### opensaml ``` ./configure --prefix=/opt --with-xmlsec=/opt --with-xmltooling=/opt make sudo make install ``` ### Shibboleth SP ``` ./configure --prefix=/opt --with-xmltooling=/opt --with-saml=/opt make sudo make install ``` # Shib2PersistentId # Perzisztens azonosító használata Shibboleth2 IdP esetén Ez az oldal a Shibboleth `storedId` plugin telepítését írja le MySQL adatbázis motorral. ## Adatbázis driver telepítése A MySQL JDBC driver a következő URL-ről érhető el: [http://dev.mysql.com/downloads/#connector-j](http://dev.mysql.com/downloads/#connector-j). Letöltés után a kitömörített drivercsomagból a .jar végű fájlt kell bemásolni a `/usr/share/tomcat6/lib` könyvtár alá. ## Táblaszerkezet ```sql CREATE TABLE `shibpid` ( `localEntity` varchar(200) NOT NULL, `peerEntity` varchar(200) NOT NULL, `principalName` varchar(200) NOT NULL, `localId` varchar(200) NOT NULL, `persistentId` varchar(200) NOT NULL, `peerProvidedId` varchar(200) default NULL, `creationDate` timestamp NOT NULL default CURRENT_TIMESTAMP on update CURRENT_TIMESTAMP, `deactivationDate` timestamp NULL default NULL, KEY `i_shibpid_pid` (`persistentId`), KEY `i_shibpid_pid_date` (`persistentId`,`deactivationDate`), KEY `i_shibpid_lid` (`localEntity`,`peerEntity`,`localId`), KEY `i_shibpid_lid_date` (`localEntity`,`peerEntity`,`localId`,`deactivationDate`) ) ENGINE=InnoDB DEFAULT CHARSET=utf8 ``` ## Perzisztens attribútum feloldása Az attribute-resolver.xml konfigurációs fájlban vegyük fel a következő DataConnectort illetve PrincipalConnectort: ```xml**Figyelem** Az `openjdk-6-jdk` csomag használata esetén ne felejtsük feltenni a `ca-certificates-java` csomagot, anélkül ugyanis hibát fogunk kapni az IdP indításakor!
### Shibboleth security provider**Info** A Shibboleth Security Provider csak akkor szükséges, ha a Java alkalmazásszerver (Tomcat) önállóan fog kéréseket feldolgozni és nem kerül elé proxy (Apache)
Be kell másolni a `lib/shib-jce-1.0.jar` állományt a `$JAVA_HOME/jre/lib/ext` könyvtárba. Ha az `ext/` könyvtár nem létezik, akkor hozzuk létre. ``` cp lib/shib-jce-1.0.jar $JAVA_HOME/jre/lib/ext ``` Ezek után be kell állítani, hogy a JRE használni is tudja ezt a providert. Ehhez a `$JAVA_HOME/jre/lib/security/java.security` fájlban keressük meg az ún. "security provider"-eket, és írjuk hozzá a következő sort: > security.provider.**7**=edu.internet2.middleware.shibboleth.DelegateToApplicationProvider - **Megj.:** a "security.provider." után következő szám mindig a megelőzőnél legyen eggyel nagyobb! ### Bouncy Castle JCE**Bizonytalan információ!** Az alábbi leírás az 5-ös JVM-hez készült, 6-os JVM esetén erre nem biztos hogy szükség van.
A JVM-mel jövő Java Cryptography Engine (JCE) nem támogatja az összes kriptográfiai algoritmust, amelyre az Identity Providernek szüksége lehet (pl. XML Digital Signature, XML Encryption). A Bouncy Castle JCE ezek mellett még olyan algoritmusokat is tartalmaz (általában hatékonyabb és szabványosabb formában), amelyek benne vannak a Java JCE-ben. Ehhez először le kell tölteni a [Bouncy Castle JCE-t](http://www.bouncycastle.org/latest_releases.html). A JCE állományok a Provider oszlopban, a "Signed Jar Files" részben találhatók. (A nevük `bcprov-jdk-VERZIO.jar`.) Letöltés után a .jar fájlokat a `$JAVA_HOME/jre/lib/ext` könyvtárba kell tenni. ``` wget http://www.bouncycastle.org/download/bcprov-jdk15-141.jar cp bcprov-jdk15-141.jar $JAVA_HOME/jre/lib/ext ``` Ezek után be kell állítani, hogy a JRE használni is tudja ezt a providert. Ehhez a `$JAVA_HOME/jre/lib/security/java.security` fájlban keressük meg az ún. "security provider"-eket, és írjuk hozzá a következő sort: > security.provider.**8**=org.bouncycastle.jce.provider.BouncyCastleProvider - **Megj.:** a "security.provider." után következő szám mindig a megelőzőnél legyen eggyel nagyobb! ## Tomcat 6 A 2.1.3 és újabb IdP megköveteli a Tomcat6 használatát (Tomcat5.5 -tel bizonyos böngészők esetén nem működik rendesen). A Debian Lenny nem tartalmazza a Tomcat6-ot, ezért a testing ágból kell feltelepíteni. A Tomcat6-ra való frissítésről további - vázlatos - információkkal ez az [oldal szolgál](https://help.edu.hu/books/aai/page/tomcat55-to-tomcat6). ### Telepítés Ha minden rendben meg, és a squeeze source beállításra került, akkor elegendő egy ``` aptitude install tomcat6 ``` parancs kiadása. Ez felpakolja a tomcat különböző függőségeit is - az ajánlott függőségek (tomcat6-admin, -docs, stb.) feltelepítése nem szükséges. Ne felejtsük el, hogy a Tomcat szerver "tomcat6" user nevében fog futni! Mivel a Shibboleth servletnek szüksége van arra, hogy hozzáférjen a filerendszerhez, a Java Security Manager-t ki kell kapcsolni a `/etc/default/tomcat6` fájlban: ``` TOMCAT6_SECURITY=no ``` Ahhoz, hogy a Tomcat számára üzembiztosan elegendő memóriát biztosítsunk, ugyanebbe a fájlba ( `/etc/default/tomcat6` ) adjuk meg: ``` JAVA_OPTS="-Xms256M -Xmx512M -XX:-DisableExplicitGC " ``` ### Beállítás A `/etc/tomcat6/server.xml` fájlt kell szerkesztenünk #### Ha a Tomcat Apache mögött fut A 8009-es porton figyelő Connector elem konfigurációjához hozzá kell adni, hogy a `tomcatAuthentication` értéke "false" legyen, ezen kívül a hozzáférést korlátozhatjuk a localhost-ra is (hiszen a Connector-t csak a helyben futó Apache mod\_proxy\_ajp konnektora érheti el). ```xml**Info** Amennyiben a Tomcat önállóan fut, szükség van a Shibboleth Security Provider telepítésére!
[További információ angolul](https://wiki.shibboleth.net/confluence/display/SHIB2/IdPApacheTomcatPrepare) ## Apache beállítás Tanúsítványok beszerzése és bemásolása `/etc/ssl` vonatkozó alkönyvtárai alá. Meg kell adni, hogy az Apache figylejen a 443-as és 8443-as portokon. Az alábbiak kerüljenek a `/etc/apache2/ports.conf` fájlba ``` Listen 443 Listen 8443 ``` ### SSO URL (443-as port) Be kell állítani a virtuális hosztot, amelyhez az IdP-t rendeltük. Először a 443-as portot konfiguráljuk. ```apache**Figyelem** Az Apache a tanúsítvány-ellenőrzésnél ellenőrzi a tanúsítvány típusát. Ezért az SP tanúsítványának vagy kliens tanúsítványnak kell lennie, vagy nem lehet benne típus információ.
```apache**Info** A felhasználó tanúsítvány alapú azonosításához (identification) szükséges, hogy a tanúsítvány tartalmazza a felhasználónevet, mégpedig az `UID` (subject) mezőben.
## Telepítés Az autentikációs modul letölthető a [http://software.niif.hu](http://software.niif.hu) oldalról. A Shibboleth2 IdP autentikációs motorjának konfigurációját részetesen a [Shibboleth2 User Authentication](https://wiki.shibboleth.net/confluence/display/SHIB2/IdPUserAuthn) wikioldal írja le. ### Apache beállítása Amennyiben az alapértelmezett szervlet elérési utat választjuk (`/Authn/X509`), a következő opciókat kell megadni az Apache webszerver konfigurációjában: ```**Info** Az IdP webalkalmazás az `${SHIB_HOME}/war/idp.war` fájlban található, ebben kell elvégezni a módosításokat, majd újratelepíteni az alkalmazást a webkonténerbe.
### IdP konfiguráció Az IdP konfigurációjában két dolgot kell módosítani: a JAAS autentikációs modul `login.config` konfigurációját, valamint a `handler.xml`-ben az autentikációs módokat. Az X.509/LDAP JAAS modul beállításához a `${SHIB_HOME}/conf/login.config` fájl tartalmához a következő sorokat adjuk hozzá (az LDAP elérési paramétereket értelem szerint kitöltve; az értékek általában a `ShibUserPassAuth` JAAS konfigurációból átmásolhatóak): ``` X509LdapAuth { hu.niif.middleware.jaas.X509LdapLoginModule required host="" port="" base="" ssl="" userField="" serviceUser="" serviceCredential=""; }; ```**Info** Figyelni kell arra, hogy az itt megadott `serviceUser` olvasási joggal rendelkezzen a `userCertificate` LDAP attribútumra.
A JAAS modul beállítása után a `${SHIB_HOME}/conf/handler.xml` fájlban meg kell adnunk az új autentikációs modulunkat, a következőképpen: ```xml**Info** A klienstanúsítvány segítségével történő autentikáció **nem feltétlenül biztonságosabb** mint a jelszavas bejelentkezés, ezért jól fontoljuk meg, hogy minden felhasználónak felkínáljuk-e ezt a lehetőséget.
### Shibboleth IdP webalkalmazás módosítása Az X.509/LDAP autentikációs modul tartalmaz egy olyan szervletet, ami képes a felhasználónév/jelszó és az X.509 autentikáció együtt történő futtatására. Első lépésként ezt a szervletet kell beállítani a `WEB-INF/web.xml` webalkalmazás konfigurációban: ```xml**Info** Amennyiben a felhasználó egyszer bejelölte a tanúsítványos autentikációt a teljes munkamenetre, azt nem tudja kikapcsolni, csak a böngésző újraindításával.
### Shibboleth IdP konfiguráció Az IdP konfigurációjában meg kell adni ezt a hibrid autentikációs módot, mégpedig a következőképpen (`${SHIB_HOME}/conf/handler.xml`): ```xml