#ACHTUNG bei Kerberos!
#
# die Module von Shibboleth und Kerberos vertragen sich nicht - also nur ein Authentifzierungsmodul von beiden verwenden

ServerSignature Off
ServerTokens Prod

#alle Anfragen auf Port 80 nach https umbiegen
<VirtualHost *:80>
  ServerName              http://spname.kürzel.uni-bamberg.de
  ServerAdmin             aufgabenbezogenen-E-Mail-Adresse@uni-bamberg.de
  DocumentRoot            /var/www/html
    
  #LogLevel debug
  ErrorLog ${APACHE_LOG_DIR}/error.log
  CustomLog ${APACHE_LOG_DIR}/access.log combined
  
  RewriteEngine On
  #sollen alle Anfragen von Port 80 nach https umgebogen werden, wird folgende RewriteRule verwendet:
  RewriteCond %{HTTPS} off
  RewriteRule (.*) https://%{SERVER_NAME}%{REQUEST_URI}

</VirtualHost>




<VirtualHost *:443>
	ServerName              https://spname.kürzel.uni-bamberg.de
	UseCanonicalName	  on

	# enable HTTP/2, if available
	Protocols h2 http/1.1

	ServerAdmin             aufgabenbezogenen-E-Mail-Adresse@uni-bamberg.de
	#LogLevel debug
	ErrorLog ${APACHE_LOG_DIR}/error.log
	CustomLog ${APACHE_LOG_DIR}/access.log combined
	DocumentRoot            /var/www/html 

	#hinter loadbalancer alles SSL* auskommentieren
	SSLEngine               on
	SSLCertificateFile      /etc/ssl/certs/cert_spname_datum.pem
	SSLCertificateKeyFile   /etc/ssl/private/key_spname_datum.pem
	SSLCertificateChainFile /etc/ssl/certs/tschain.pem

	# HTTP Strict Transport Security (mod_headers is required) (63072000 seconds)
	Header always set Strict-Transport-Security "max-age=63072000"

	#see also https://ssl-config.mozilla.org/
    #TLS 1.3 prefered or 1.2
    SSLCipherSuite          ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
  
    SSLHonorCipherOrder     on
    SSLSessionTickets       off
    SSLCompression off

	#Zugriff auf die Shibboleth-Ressourcen gewähren
	<Location /Shibboleth.sso>
		AuthType None
		Require all granted
		SetHandler shib
	</Location>
	<Location /shibboleth-sp>
		AuthType None
		Require all granted
	</Location>

	# Redirect ccs und Grafik für Nachrichten des SPs 
	Redirect /shibboleth-sp/main.css https://idp.iam.uni-bamberg.de/shibcss/shibsp.css
	Redirect /shibboleth-sp/logo.jpg https://idp.iam.uni-bamberg.de/shibcss/logo-sp.jpg
	
	#falls der eds verwendet wird https://wiki.shibboleth.net/confluence/display/EDS10/Embedded+Discovery+Service
	#<Location /ds>
	#	authType shibboleth
	#	ShibRequestSetting requireSession false
	#	require shibboleth
	#</Location>

	<Location /secure>
		authType shibboleth
		ShibRequestSetting requireSession true
		<RequireAll>	
			Require valid-user
			#entweder uni ipv4 oder ipv6
			<RequireAny>
				Require ip 141.13.0.0/16
				Require ip 2001:638:a06::/48
			</RequireAny>
			#Benutzernahmen
			#Require shib-attr eppn ~ ^ba.*@uni-bamberg.de$
			#zwei Gruppen mit oder verknüpft - Gruppennamen werden immer toLowerCase geliefert
			Require shib-attr memberOf ^cn=sgrp.sso_aktiv.rz,ou=allgroups,dc=uni-bamberg,dc=de$ ~ ^cn=samplegroup,ou=allgroups,dc=uni-bamberg,dc=de$
			#nur Maildomains mit uni-bamberg.de akzeptieren
			Require shib-attr mail ~ ^*.@uni-bamberg.de$
			#Zugang nur für Bedienstete ermöglichen
			Require shib-attr eduPersonScopedAffiliation employee@uni-bamberg.de
		</RequireAll>
	</Location>		 
</VirtualHost>