Configuration shibboleth pour sympa

sympa : authentification avec shibboleth
- http://www.sympa.org/manual_6.3/authentication#setting_up_a_shibboleth-enabled_sympa_server

Installation de shibboleth

Installation de shibboleth sur le serveur hébergeant sympa

Fichier shibboleth.xml

<ApplicationDefaults id="default"
  entityID="https://listes.grenoble-inp.fr"
  homeURL="https://listes.grenoble-inp.fr/sympa/sso_login/federation_renater"
  signing="false" encryption="false">

Enregistrement dans la fédération Renater

https://services-federation.renater.fr/gestion?federation

URL du service	https://listes.grenoble-inp.fr/sympa/sso_login/federation_renater/
Public(s) concerné(s) par le service	communauté nationale (type UNT) ou internationale
Catégorie du service	outils collaboratifs
Attributs	email authentification
entityID	https://listes.grenoble-inp.fr
Point d'accès (AssertionConsumer service) pour le protocole SAML 1.0, profil browser-post	https://listes.grenoble-inp.fr/sympa/sso_login/federation_renater/Shibboleth.sso/SAML/POST
index	0
Point d'accès (AssertionConsumer service) pour le protocole SAML 2.0, profil http-post	https://listes.grenoble-inp.fr/sympa/sso_login/federation_renater/Shibboleth.sso/SAML2/POST
index	0
Certificat X.509	copie de /etc/shibboleth/sp-cert.pem sans ces deux lignes BEGIN CERTIFICATE et END CERTIFICATE
Rattachement à une fédération	Fédération Education-Recherche
Adresse directe

Configuration Sympa

~sympa/etc/auth.conf

generic_sso
   service_name       Connexion_par_federation_Renater
   service_id         federation_renater
   http_header_list mail
   email_http_header  mail
   logout_url          https://listes.grenoble-inp.fr/sympa/sso_login/federation_renater/Shibboleth.sso/Logout?return=http%3A%2F%2Flistes.grenoble-inp.fr/sympa

~sympa/etc/web_tt2/fr_FR/loginbanner.tt2

utiliser vim, puis :syntax on

Modification de l'interface de connexion au niveau des labels en français

<div  id="Identity_not_connect">
      [% IF use_sso %]
    <form action="[% path_cgi %]" method="post">
      <fieldset>

<!-- ajout CB pour shib  --->
<!--             <label for="auth_service_name">[%|loc%]To login, select your organization authentication server below:    [%END%]&nbsp;&nbsp;&nbsp;&nbsp;</label> -->
<label for="sso_login">CONNEXION -- Service d'authentification : pour Grenoble INP -- Federation Renater : pour Grenoble INP et autres organismes</label>
          <label for="auth_service_name">puis connexion par le serveur d'authentification de votre organisme : &nbsp;&nbsp;&nbsp;&nbsp;</label>
<!-- fin ajout CB pour shib  --->

    .....
   [% IF use_passwd == '1' %]
    .....
   <input type="hidden" name="action" value="login" />
    <label for="email_login"> - - - - EXTERIEURS a la FEDERATION RENATER - - - -  [%|loc%]email address:[%END%]</label>

~sympa/etc/web_tt2/loginbanner.tt2

Modification de l'interface de connexion au niveau des labels en anglais

<div  id="Identity_not_connect">
      [% IF use_sso %]
    <form action="[% path_cgi %]" method="post">
      <fieldset>    
              <label for="sso_login"> - - - - Grenoble INP's Staff- - - -  either by  service d'authentification  - - or by Federation Renater - - - - - - For others </label>
       .....
          <label for="auth_service_name">[%|loc%]to login, select your organization authentication server :[%END%]&nbsp;&nbsp;&nbsp;&nbsp;</label>         
       .....       
 <label for="email_login"> - - - - EXTERNAL  to  the  RENATER's FEDERATION  - - - -  [%|loc%]email address:[%END%]</label>

<note tip>BUG : Attention ces fichiers ne sont pas pris en compte au niveau des robots</note>