Shibboleth Anbindung für OpenCast

[Stephan Krinetzki]

Hallo zusammen,

ich habe gelesen, dass Opencast wohl die Authentifizierung über Shibboleth unterstützt. Allerdings scheint mir die Dokumentation dafür sehr dünn zu sein. Daher nun meine Frage: Hat hier wer Opencast + Wowza + Shibboleth am Laufen und kann mir eine Anleitung/ein paar Ressourcen nennen, wo ich nachlesen kann, wie man das einrichten soll? Ich würde dann die Dokumentation in dieser Gruppe nachpflegen, so dass mehr von dieser Konfiguration profitieren können, denn ich denke nicht, dass diese Konfiguration so selten ist.

Viele Grüße aus Aachen

Stephan Krinetzki

[Lars Kiesow]

Hi Stephan,
die einzige mir bekannte Installation mit Shibboleth läuft bei SWITCH.
Dort bin ich mir aber nicht sicher, ob es das Standard-Opencast-Modul
ist. Sven kann dazu eventuell etwas mehr sagen.
Gruß,
Lars

[Sven Stauber]

Hallo Stephan,

Wir haben Opencast mit Shibboleth im Einsatz (allerdings nicht mit Wowza, wobei dies eigentlich nicht relevant sein sollte). 

Ich nehme an, dass Du Shibboleth im Zusammenhang mit DFN-AAI einsetzen willst, oder? Wie man einen DFN-AAI Service Provider konfiguriert, findest Du in der DFN-AAI Dokumentation.

Seitens Opencast benötigst Du einerseits Anpassungen an mh_default_org.xml und eine Implementierung der Schnittstelle ShibbolethLoginHandler (matterhorn-security-shibboleth/src/main/java/org/opencastproject/security/shibboleth/ShibbolethLoginHandler.java), welche spezifisch für DFN-AAI sein müsste.

Ich kläre gerne ab, ob ich Dir die Implementierung unseres LoginHandler als Referenz zur Verfügung stellen darf. Wäre an und für sich keine Hexerei, dies für DFN-AAI zu bauen. 

Beste Grüsse,

Sven

 

[Stephan Krinetzki]

Hallo Sven,

wir haben unseren eigenen IdP am laufen, was aber an sich ja keine Rolle spielt. Ob ich nun nach DFN-AAI oder für einen eigenen IdP die Konfiguration anpassen muss, ist ja egal. Der Tipp mit der xml-Datei und dem java Code ist schon mal sehr hilfreich - damit müsste ich schon einmal ein Stück weiter kommen. Wowza ist ja eine andere Baustelle, ist aber mit in Planung.

Gruß

Stephan

[Sven Stauber]

Hallo Stephan,

Der LoginHandler weist im Wesentlichen dem Benutzer basierend auf Shibboleth Attribute Rollen zu. Damit kannst Du sowohl den Admin node als auch den Presentation node schützen. 

Für die eigentliche Distribution (Download/Streaming von Dateien) würde ich nicht Shibboleth einsetzen... da kannst Du einfach Stream Security einschalten ;-) Für Wowza gibt es überigens ein Stream Security Plugin.

Beste Grüsse,

Sven

[Ruth Lang]

Hallo Stephan,

wir verwenden hier in Köln Opencast mit Wowza und StreamSecurity,

Welche Fragen hast du dies bezüglich ?

Grüße

Ruth

[Stephan Krinetzki]

Hallo Ruth,

mir geht es um die generelle Anbindung. Sven hat mir bereits geschrieben, wie man den Login Handler von Opencast umschreibt, allerdings noch nicht wirklich, wie die Java Klasse dazu aussehen muss. Dazu solltest du wissen, dass ich kein Programmierer bin, sondern lediglich System Administrator (sprich: Kann den Code verstehen und etwas schreiben, bin aber kein Profi).

Gruß

Stephan

[John Christofferson]

Hallo Stephan,

konntest du einen ShibbolethLoginHandler implementieren? Wir wollen aufgrund der nicht funktionalen LDAP Unterstuetzung (siehe v.a. englische opencast user group oder auch https://groups.google.com/a/opencast.org/forum/#!topic/anwender/2liej1OdfVA) alternativ eine Shibboleth-Anbindung umsetzen (ist sowieso unser eigentliches Ziel gewesen). Falls du bereits einen Prototyp erstellt hast, wuerde ich mich sehr freuen, wenn du diesen mit den dazugehoerigen Konfigurationen (man muss vermutlich die ein oder andere pom.xml und/oder feature.xml erweitern) hier beistellen koenntest. 

Wir haben ziemlich viel Erfahrung mit Shibboleth und Spring, und sind guter Dinge, einen relaesefaehige Implementierung hinzubekommen, die wir dann in Form eines pull requests wieder bereitstellen wuerden - sofern wir dafuer nicht die opencast security API refactoren muessen :-)

Schoene Gruesse

jc

[Stephan Krinetzki]

Hallo John,

bisher nicht. Wir haben es intern auch erstmal verworfen, da nur eine ganz kleine Gruppe den Server nutzen wird.

Gruß

Stephan

[Sven Stauber]

Hoi zäme,

Wir haben basierend auf unserem SWITCHaai Login Handler nun eine konfigurierbare Version erstellt, welche auch mit DFNaai funktionieren müsste, siehe https://bitbucket.org/opencast-community/matterhorn/pull-requests/1348/f-mh-12029-configurable-aai-login-handler/diff

Falls jemand von Euch Zeit hätte, würde wir uns sehr freuen, wenn Ihr beim Review des Pull Requests helfen könntet. Konkret würde dies bedeuten, dass Ihr den Login Handler bei Euch testen würdet. Ich habe diesen auf unserer Testumgebung mit SWITCHaai bereits getestet - ob er wirklich auch mit DFNaai funktioniert, kann ich aber nicht garantieren - ich wäre aber bereit, allenfalls nachzubessern.

Beachtet, dass rein Opencast-seitig nicht viel Aufwand anfällt: Ihr müsstet nur die Shibboleth Attribute von DFNaai konfigurieren. Natürlich muss das ganze Drumherum (Shibboleth Service Provider) auch gemacht werden.

Hätte jemand von Euch Zeit?

Beste Grüsse,

Sven

[Stephan Krinetzki]

Hallo zusammen,

ich könnte in nächster Zeit das testen, da bei uns der Bedarf nach Shibboleth doch größer wird. Frage dau: Reicht es, wenn ich den Diff von oben einspiele? Und muss ich dan Opencast neu kompilieren? Muss ehrlich sagen, dass ich "nur" Admin bin und kaum Erfahrung mit dem Kompilieren von JAVA-Anwendungen habe.

Gruß

Stephan

[Sven Stauber]

Hallo Stephan,

Um den Patch zu testen wäre es in der Tat notwendig, neu zu kompilieren. Wenn Du damit keine Erfahrungen hast, dürfte das Kompilieren (und Deployment der erzeugten Version) für Dich zu aufwendig sein. Sobald der Patch Teil des offiziellen Opencast Release ist, erübrigt sich das. Das wird aber frühestens mit Opencast 2.4 der Fall sein.

Danke aber trotzdem für die angebotene Hilfe!

Beste Grüsse,

Sven