Haka-palveluiden valvonta ja tilastointi AAIEye -työkalun avulla Mika Suvanto, CSC mika.suvanto@csc.fi 3.9.2009
Mitä se tekee? kaksi perustoimintoa: valvoo Haka-palveluiden toimintaa kirjautumalla niihin automaattisesti kerää statistiikkatietoja IdP:istä ja SP:istä Katso itse: https://talli.funet.fi/haka (valitse Hakan käyttötilastot / Haka Statistics)
Miksi valvoa? mahdollistaa IdP:n ja SP:n toimivuuden valvonnan sovellustasolla täydentää siis valvontaa vian havaitseminen federaatiossa ei ole aina helppoa, sillä vika saattaa koskea vain tiettyjä käyttäjiä, esimerkiksi henkilökuntaa tai tietyn organisaation jäseniä automaattinen valvonta tuo turvaa muutostilanteissa palaute tulee välittömästi, jos konfiguraatiot on pielessä statistiikan kerääminen keskitetysti tarjoaa tietoa Hakan käytöstä ja toiminnasta ja näin mahdollistaa toiminnan kehittämisen oikeaan suuntaan mukaan liittyminen varsin vaivatonta: IdP:n valvomiseksi tarvitaan vain tunnus IdP:ssä SP:n valvomiseksi riittää pyyntö CSC:lle lisätä SP valvottavaksi Statistiikan keräämiseksi IdP:ssä tai SP:ssä täytyy asentaa AAIEye Probe Mahdollisuus saada hälytykset myös omaan Nagios-asennukseesi
Statistiikan keräys tapahtuu AAIEye Proben avulla Java -sovellus, joka asennetaan IdP:n tai SP:n yhteyteen lukee Shibboleth:in tuottamia lokitiedostoja, joista laskee käyttäjämäärät siirtää yhteenvedon CSC:n keskitetylle palvelimelle, josta tilastoja voi tutkia www-käyttöliittymällä ei käsittele henkilötietoja asentaminen vaatii Java SDK:n sekä ant:in, testattu mm. Linux Solaris Windows 2003 ks. http://www.csc.fi/hallinto/haka/tekniikka/valvonta
Proben asennus (1/7) hae riittävän tuore Java (1.6 suositellaan, 1.5 käy) http://java.sun.com/javase/downloads/index.jsp hae riittävän tuore Apache Ant (1.7 suositellaan, 1.6 käy, 2.0 ei testattu) http://ant.apache.org/ hae AAIEye Probe http://www.csc.fi/english/institutions/haka/technology/aaieye/downloads/
Proben asennus (2/7) Aseta ympäristömuuttujat JAVA_HOME ja ANT_HOME osoittamaan hakemistoja, minne asensit Javan ja Ant:in Pura AAIEye, ja asenna se käyttäen ant:ia: [miksuvan@laidun aaieye-src]$ tar zxf AAIEyeProbe-0.8.tar.gz [miksuvan@laidun aaieye-src]$ cd AAIEyeProbe [miksuvan@laidun AAIEyeProbe]$ $ANT_HOME/bin/ant
Proben asennus (3/7) prompt: [input] Select an installation directory for AAIEye Probe /opt/aaieye [input] Enter hostname of AAIEye Monitoring Server, where log events are to be sent laidun.funet.fi [input] Enter port number of that AAIEye Monitoring Server 4445 [input] Enter a Probe Id of your installation, use Shibboleth's providerid for example https://laidun.funet.fi/shibboleth [input] Enter path of Java keystore which includes/will include the server certificate /opt/aaieye/keystore [input] Enter keystore password (min. 6 characters) topsecret
Proben asennus (4/7) Lopputuloksena pitäisi syntyä viesti BUILD SUCCESSFUL ja onnistunut asennus valitsemaasi hakemistoon. Tämän jälkeen on tehtävä konfigurointi: /opt/aaieye/conf -hakemistoon on syntynyt esitäytetyt konfiguraatiot. Jos käytät Shibboleth 1.3 IdP:tä: kopioi AAIEyeProbe-IdP1.xml AAIEyeProbe.xml -nimelle Jos käytät Shibboleth 2 IdP:tä: kopioi AAIEyeProbe-IdP2.xml AAIEyeProbe.xml -nimelle Jos käytät Shibboleth 1.3 tai 2 SP:tä: muokkaa suoraan AAIEyeProbe.xml tiedostoa
Proben asennus (5/7) Tärkeimmät kohdat konfiguraatiosta: 1. Shibboleth:in tekemät lokitiedostot <Resource type="inputlogfile"> <File path="/var/log/shibboleth-sp/transaction.log.2" /> <File path="/var/log/shibboleth-sp/transaction.log.1" /> 2. Tarvittavat attribuutit <RequiredAttributes applicationid="default"> <Attribute>urn:mace:dir:attributedef:eduPersonPrincipalName</Attribute> Näiden avulla tilastoidaan kirjautuminen onnistuneeksi tai epäonnistuneeksi, eli tähän voit syöttää sovelluksesi vaatimat attribuutit. Voit myös jättää kohdan tyhjäksi, jolloin kaikki sessiot lasketaan onnistuneiksi.
Proben asennus (6/7) 3. IP-osoitteet, joista tulleita kirjautumisia ei lasketa tilastoihin <Skip> <IPAddress>192.168.0.1</IPAddress> </Skip> Jos olet mukana myös AAIEye -valvonnassa, syötä tähän laidun.funet.fi -koneen IP-osoite 193.166.0.132 Muut konfiguraation kohdat on myös syytä käydä läpi, konfiguraatiotiedostossa on dokumentoitu nämä tarkemmin.
Proben asennus (7/7) Tarkista vielä käynnistysskripti: /opt/aaieye/bin/aaieyeprobe.sh (tai.bat) Luo Java keystore, jonka pitää sisältää oman koneesi yksityinen avain, sekä laidun.funet.fi -koneen varmenne (tai Sonera CA 2) Yksityisen avaimen saat keystoreen monellakin tapaa, yksi on /opt/aaieye/bin/importkey.sh -skriptillä lue ohjeet ko. skriptin alusta Sitten pitäisikin olla valmista käynnistä Probe em. käynnistysskriptillä ja ota yhteyttä haka@csc.fi, ja kerro koneesi IP-osoite, jotta avaamme palomuurin Jätä Probe ajoon