saml周辺　目的を定めずいろいろやる

■aws ES2にサーバ（RHEL7.5）を立てる

※一か月無料、dagyah@gmail.comアカウント

※VMは1cpu、mem=１GB、HDD=10GB、awsで作成したsshのRSA秘密鍵をteratermと.ssh/id_rsaに仕込む

AWS> hostnamectl set-hostname AWS

・tomcat8を構築

OpenAMではtomcat8.5ではうまく起動しないらしいので

AWS> yum install java-1.8.0-openjdk

AWS> pwd
/usr/local

AWS> tar xf /usr/local/src/apache-tomcat-8.0.51.tar.gz
AWS> ls -ld /usr/local/apache-tomcat-8.0.51
drwxr-xr-x. 9 root root 160 Apr 29 13:08 /usr/local/apache-tomcat-8.0.51
AWS> ln -s /usr/local/apache-tomcat-8.0.51 tomcat8

AWS> cat /usr/lib/systemd/system/tomcat8.service
[Unit]
Description=Apache Tomcat Web Application Container
After=syslog.target network.target
[Service]
Type=forking
ExecStart=/usr/local/tomcat8/bin/startup.sh
ExecStop=/usr/local/tomcat8/bin/shutdown.sh
PIDFile=/usr/local/tomcat8/tomcat.pid
SuccessExitStatus=143
User=tomcat
Group=tomcat
[Install]
WantedBy=multi-user.target

AWS> systemctl daemon-reload

AWS> useradd tomcat
AWS> chown -R tomcat:tomcat /usr/local/apache-tomcat-8.0.51

AWS> diff catalina.sh catalina.sh.org
122,124d121
< CATALINA_BASE=/usr/local/tomcat8
< CATALINA_PID="$CATALINA_BASE/tomcat.pid"

AWS> systemctl start tomcat8

AWS> netstat -naptl
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       PID/Program name
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      1256/sshd
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      1068/master
tcp        0     96 172.31.40.133:22        126.114.81.99:58337     ESTABLISHED 1325/sshd: ec2-user
tcp6       0      0 127.0.0.1:8005          :::*                    LISTEN      9388/java
tcp6       0      0 :::8009                 :::*                    LISTEN      9388/java
tcp6       0      0 :::8080                 :::*                    LISTEN      9388/java
tcp6       0      0 :::22                   :::*                    LISTEN      1256/sshd
tcp6       0      0 ::1:25                  :::*                    LISTEN      1068/master

・tomcat管理ページ設定

tomcat再開　その3 tomcatの基礎づけの試み

/webapps/manager/META-INF/context.xmlではloopbackのみ許可

awsのファイアウォール（セキュリティグループというらしい）は下記のようにtcp18080へのinboundを許可

 

 

teratermでsshポート転送

してtomcat8管理ページにログイン

helloworldも成功

tomcat再開　その１

・nginx

AWS> cd /usr/local/src

AWS> curl http://nginx.org/packages/rhel/7/x86_64/RPMS/nginx-1.12.2-1.el7_4.ngx.x86_64.rpm > nginx-1.12.2-1.el7_4.ngx.x86_64.rpm

AWS> rpm -ivh nginx-1.12.2-1.el7_4.ngx.x86_64.rpm

AWS> systemctl start nginx

お名前ドットコムのDNSのAレコードにAWSから借りた固定IPを登録

nginxのリバースプロキシ設定でtomcat8にリクエストを転送

AWS> cat /etc/nginx/conf.d/default.conf
server {
    server_name www.giveadream.info;
    listen 80;
    location /tomcat/ {
        proxy_http_version 1.1;
        proxy_pass http://127.0.0.1:8080/;
        proxy_redirect http://127.0.0.1:8080/ /;
        proxy_cookie_path /tomcat /;
        proxy_set_header X-Forwarded-Proto $scheme;
    }
    location / {
        root   /usr/share/nginx/html;
        index  index.html index.htm;
    }

}

 

オレオレルート証明書を作って、オレオレ認証局でwww.giveadream.infoのcsrを署名したサーバ証明書と対応するサーバ秘密鍵を配置

AD FSサーバ構築　その１

 

・OpenAM

構築できるかどうかわかんないけどとりあえずもがいてみるんご

漠然とした目標

AWS側にOpenAMでSPを立てて、ADFS3.0に認証させて、samlリクエスト、samlレスポンス、署名、シーケンスなどを見てみる。

もし、ADFS側がブラックボックスなら、LAN内にOpenAMでIDPを立てて、AWS側SPをLAN内のIDPで認証させてみる。試行錯誤で認証が成功する場合と失敗する場合の違いを調べる。LAN側のIDPでgsuiteを認証させてみる。