问题标签 [fiware-wilma]

我花了一天的大部分时间尝试配置 Fiware PEP 代理 Wilma 以保护我在开发服务器上运行的 Orion 上下文代理。此处的文档：http: //forge.fiware.org/plugins/mediawiki/wiki/fiware/index.php/PEP_Proxy_- Wilma -_Installation_and_Administration_Guide不清楚。

这是我的设置：

• 运行在 server1 端口 3000 上的 Fiware Keyrock 实例
• 在服务器 1 上运行的 PEP 代理
• 在 server2 端口 1026 上运行的 Orion 上下文代理

手册规定编辑 config.js 脚本。这是我更改的内容（Stackoverflow 阻止我输入 url，因此将 http .. 替换为 http :)

这是错误

~/fi-ware-pep-proxy$ node server.js express deprecated app.configure: Check app.get('env') in an if statement server.js:30:5 启动 PEP 代理。Keystone 身份验证... keystone 通信错误错误：getaddrinfo ENOTFOUND at errnoException (dns.js:37:11) at Object.onanswer [as oncomplete] (dns.js:124:16)

我的 Orion 和 Keyrock 实例已启动并正在运行。我可以用 curl 或浏览器查询它们。

我真的不知道我应该在 config.js 中填写什么来进行设置。

我们在云 Fiware Lab 部分部署了一个基于图像的专用 Orion 实例。我们需要为后端应用程序添加 Pep 代理 Wilma 以实现身份验证和授权安全。在同一个专用实例中，我们安装了 Node.js，并且我们遵循了 [[ http://forge.fiware.org/plugins/mediawiki/wiki/fiware/index.php/PEP_Proxy_- Wilma -_Installation_and_Administration_Guide]]中给出的所有步骤.

问题：

我们应该如何配置 config.js 以将 Orion 终端服务客户端引导到 pep 代理 wilma ？

我已经在我的机器上安装了 orion Context Broker 和 pep 代理。我的目标是 keyRock 和 AuthZforce 的全局实例来验证上下文代理。

这是我的 config.js：

当我这样做时，node server.js 我成功地得到：

按照此安装和管理指南，我执行了以下命令：

curl --header "X-Auth-Token:e2189bdc1a8b4aae9280b0fd5a6ae8a0" http://localhost:1307

从那里我得到这个消息：

我在这里很茫然，不知道如何通过这三个中介访问上下文代理？

我应该向谁的主机索取令牌？

我不知道我是否在问正确的问题。所有这一切的重点是保护对上下文代理的访问。

编辑 1

设置 auth-token.sh 后，出现以下错误：

节点 server.js 报告了这一点：

以前的命令：sh auth-token.sh <username> <pass>给了我：

然后我只是curl --header "X-Auth-Token:OxFTGtMM6ckBa7FQCUmwvvhj6GQYFc" http://localhost:1307给了我前面提到的错误。

我正在开发基于 Oauth 2.0 的身份验证/授权方案，使用 Fiware Enablers：Keyrock IdM、Wilma Proxy 和 AuthZforce 授权服务器。

我安装并配置了 Keyrock 和 Wilma，它们一起工作得很好。

在同一台机器上我安装了 AuthZForce。Java OpenJDK 1.7.0_91 和 Tomcat 7 安装在这台机器上的 Ubuntu 14.04 上。

我按照安装指南并使用 gdebi 安装了 AuthZforce，但我实际上无法使用指南中的 curl 命令创建域：

curl --verbose --trace-ascii - --request POST \ --header "Content-Type: application/xml;charset=UTF-8" --data '<?xml version="1.0" encoding="UTF- 8"?><taz:domainProperties xmlns:taz="http://authzforce.github.io/rest-api-model/xmlns/authz/4"> <name>MyDomain</name><description>这是我的域。</description></taz:domainProperties>' --header "Accept: application/xml" http://${MYSERVERHOST}:${MYPORT}/authzforce-ce/domains

我收到以下错误：

<?xml version="1.0" encoding="UTF-8" Standalone="yes"?><ns2:error xmlns:ns2="http://authzforce.github.io/rest-api-model/xmlns/authz /4" xmlns:ns3="http://www.w3.org/2005/Atom" xmlns:ns4="http://authzforce.github.io/core/xmlns/pdp/3.6" xmlns:ns5=" http://authzforce.github.io/pap-dao-file/xmlns/properties/3.6"><message>无效参数：cvc-complex-type.2.4.a：以“名称”开头的无效内容。发现以元素“名称”开头的无效内容。需要一个元素“{description, rootPolicyRef}”。</message></ns2:error>

这似乎是一个 xml 验证错误。我试图访问 AuthZforce API，但程序员指南中的链接给出了 404 错误。

谁能建议如何解决这个问题？

提前致谢。~

我试图了解 GING 对 Keystone 和 Horizo​​n 分叉所做的真正更改是什么，这些更改是否仅适用于 Fiware Lab（即 Fiware Lab 特定）？

我们正在为 Mainflux IoT Cloud 进行正确的 Fiware 安装：https ://github.com/Mainflux/mainflux ，我们正在使用 Orion 和 IoT 代理。我们想用 Wilma 和 IDM 添加安全层，我们想知道是否需要修改 Keyrock，或者我们可以直接使用 OpenStack 中的 vanilla Keystone 和 Horizo​​n。

Wilma 会使用 OpenStack 中未更改的 Keystone 和 Horizo​​n 吗？

BR，
德拉斯科

我们正在尝试部署我们的安全层（KeyRock、Wilma、AuthZForce）来保护我们的 Orion 实例。

我们能够在 Keyrock 和 Wilma 工作的情况下获得安全级别 1（身份验证），但是当我们尝试插入 AuthZForce 来检查动词+资源授权时，我们会收到错误消息：

未为应用程序创建 AZF 域

在PEP 代理用户指南中，在“级别 2：基本授权”部分下，声明我们必须在应用程序中为用户配置角色和权限。我按照Fiware IdM 用户和程序员指南中的步骤创建了我的用户并注册了我的应用程序。我还创建了一个附加规则来完全匹配我试图获取的资源，以保证没有路径错误。

我还可以按照AuthZForce - Installation and Administration Guide中的说明创建域，但我不知道在创建域 ID 时如何将域 ID 与用户角色绑定。我在 IdM GUI 和文档中进行了搜索，但找不到如何操作。

那么，如何在特定域下插入用户/组织/应用程序，然后获得安全级别 2？

更新：

我的 Wima 的 config.js 文件有这个部分：

我的 docker-compose.yml 文件是：

作为 FINISH 加速器的一部分，我们使用 FIWARE KeyRock 和 Wirecloud。目前我们正在使用 Fiware labs 全局实例进行调查。

我们希望限制我们的系统，以便用户只能查看属于他们所属组织的数据。

以下流程似乎合乎逻辑，但如果我错了，请纠正我：

1. 用户登录到 Wirecloud 并被引导通过 KeyRock 登录屏幕。
2. Wirecloud Widget 从 Wirecloud 环境中获取访问令牌。访问令牌是在用户登录时创建的。
3. Wirecloud 小部件查找用户所属的组织和角色。基于此，它将组织名称添加到其查询中。
4. Wirecloud 小部件使用它刚刚创建的查询来查询 Web 服务（Orion 或其他）。
5. 我们将 Wilma PEP 代理放在 Wirecloud Widget 和 Web 服务之间，以验证用户是查询中组织的成员。

问题：我们可以使用https://account.lab.fiware.org/user?access_token=XXXXXXXXXXXX调用 从 KeyRock 查询用户信息。但根据 KeyRock Web 界面，这不包含有关用户所属组织的任何信息。组织元素是一个空数组。我们在 json 响应中获得了一堆角色，但它们都不是您从 KeyRock 中的“管理您的组织成员”屏幕分配给用户的“成员”角色。

一些挖掘显示，在 Fiware 实验室上运行的 Keystone 实例包含这些信息（假设 Keystone 项目 = KeyRock 组织）。然而，KeyRock 提供的访问令牌在 Keystone API 上是无效的。我们使用的 API 可在此处访问：http : //cloud.lab.fiware.org:4730/v3/ 从 Keystone API 获取新的访问令牌不是我们想要的，因为这将是与 Wirecloud 不同的访问令牌获得，这将需要某种代理再次登录并检索组织成员资格。这反而破坏了传递访问令牌的意义。

这似乎是 fiware labs 实例上 KeyRock API 中的一个错误。或者我在这里错过了什么？或者如果我们在自己的服务器上安装 keyrock，这个问题会神奇地消失吗？

感谢您的帮助，罗宾

可以在没有 keyrock 和 wilma 的情况下使用 Fiware enabler AuthZforce 吗？可以使用其他 pep 和 IDM 吗？

什么时候用威尔玛，什么时候用钢皮？

为什么fiware通用使能器目录中没有提到steelskin ？

在此先感谢您的帮助！

I want to restrict data that is retrieved from a back-end server to organisations to which the authenticated user is a member.

From the documentation (https://github.com/ging/fiware-pep-proxy) this should be possible using Wilma's inbuilt function for populating a number of http headers:

Once authenticated, the forwarded request will include additional HTTP >headers with user info:

• X-Nick-Name: nickname of the user in IdM
• X-Display-Name: display name of user in IdM
• X-Roles: roles of the user in IdM
• X-Organizations: organizations in IdM

However the actual values of the last two headers as forwarded are:

• 'x-roles': '[object Object]',
• 'x-organizations': '[object Object]',

The headers literally contain a string value "[object Object]" rendering them completely useless. It looks like the author forgot to serialize the roles and organisations data.

Please tell me i am overlooking something here? If not, any chance of a timely fix? I am not a javascript guru, but a quick google search tells me "JSON.stringify" should do the trick.