SP 2.5.xおよびそれ以前からのアップデートに関する情報はこちらもご覧ください。⇒SPv2アップデートに関する情報
バージョン共通
CentOS等、yumコマンドによりインストールした環境では以下のコマンドで簡単に最新版にアップデートできます。
$ sudo yum update
もしくは、Shibboleth SP関連のパッケージのみをアップデートする場合は、代わりに以下のコマンドを実行してください。
$ sudo yum update shibboleth libsaml10 libxmltooling8 libxml-security-c20 liblog4shib2 opensaml-schemas xmltooling-schemas libxerces-c-3_2 libcurl-openssl (OSによっては libcurl-openssl パッケージが存在しない場合がありますが、無視されますので問題ありません)
アップデート後、httpdおよびshibdが再起動されていることを確認し、再起動されていなければ手動で再起動してください。
$ sudo systemctl restart shibd $ sudo systemctl restart httpd
CentOS 6の場合コマンドが異なります。自動再起動されていない場合は以下のコマンドを用いてください。
$ sudo /sbin/service shibd restart $ sudo /sbin/service httpd restart
※ 例えば、2.6.1から3.0.1へのアップデートは自動的に再起動する模様。3.0.1にアップデート後、libxmltooling8のみをアップデートした場合は自動再起動されない模様。
注意点
RPMパッケージのミラーリングがおかしい場合はこちらをご参照ください。
2016-11-30 [upki-fed:01103] 【続報】Shibboleth SPパッケージ配布リポジトリの不具合について
デフォルトでは有効になっていない、オープンリダイレクタとならないための設定があります。特に事情がなければ以下の指示に従って設定を有効にしてください。
⇒オープンリダイレクタとなりうる問題の対処
Shibbolethプロダクトに関する次節以降記載以外のセキュリティフィックスおよび脆弱性情報は以下のページにてご覧いただけます。
⇒ Shibboleth Wiki: SecurityAdvisories
Apache httpd 2.4へ移行する場合の注意点
Apache httpd 2.2およびそれ以前からApache httpd 2.4へ移行する場合、設定ファイルの ShibCompatWith24
の行はコメントアウトもしくは削除してください。
2016-12-08 [upki-fed:01115] Re: Proxy配下でのSP構築に関して
また、require valid-user
など、許容される構文もしくはその意味が変わっておりますので、昔の設定を引き継いで使っている方はご注意ください。
⇒ Shibboleth Wiki: Apache Compatibility Changes, Apache, htaccess
なお、Apache httpd 2.4上でSPを構築した場合、なんらかの条件のもとで、シボレス認証が必要な場面で"401 Unauthorized"というエラーが発生するという情報があります。この場合は以下の方法を試してみてください(CentOS 7での手順です)。/etc/httpd/conf.modules.d/00-shib.conf
のようなファイル名で以下の内容で新規ファイルを作成し、/etc/httpd/conf.d/shib.conf
の該当行を削除してください。終わりましたらhttpdを再起動してください。
# # Load the Shibboleth module. # LoadModule mod_shib /usr/lib64/shibboleth/mod_shib_24.so
2016-12-09 [upki-fed:01121] Re: Proxy配下でのSP構築に関して
関連: https://issues.shibboleth.net/jira/browse/SSPCPP-628
関連: (Shibboleth Users ML) Configuration of SP with apache and mod_shib - HTTP 401 error
SP 3.0.x から SP 3.0.x へのアップデートに関する情報
3.0.0には起動に失敗するものを含むバグが存在します。3.0.1以降にアップデートしてください。アップデート後、shibboleth2.xml
に veryifyBackup=
という文字列が含まれる場合は誤字ですので verifyBackup=
に修正してください。
SP 2.6.x から SP 3.0.x へアップデートする場合の注意点
2.6.xで動作している設定ファイルは全て3.0.xでも動作します。上記手順でアップデートを行ってください。ただし、旧設定ファイルでは新機能が使えないほかいくつか不要なものがございますので後日以下の1.の手順を実施することをお勧めします。
1. SPアップデート後の作業
不要なパッケージの削除
libsaml, libxmltooling, libxml-security-c, liblog4shibが合わせてバージョンアップしパッケージ名が変更になっています。また、CentOS 7ではBaseリポジトリのxerces-cパッケージを使用していたものが独自のlibxerces-c-3_2パッケージを使用するようになっています。古いバージョンは削除されないようなので、他で使っていなければ削除してしまいましょう。
$ sudo yum erase libsaml9 libxmltooling7 libxml-security-c17 liblog4shib1 xerces-c
不要なファイルの削除
2.xで/var/log/shibboleth-www/以下に出力されていたログは3.0では/var/log/messagesに出力されるようになりました。既存のログファイルに有益なものはないと思いますので削除してかまいません。
$ sudo rm -r /var/log/shibboleth-www
また、2.xには不要になったDiscoFeedキャッシュの削除処理に不具合があり、当該ディレクトリに残り続けているものがある可能性があります。アップデート後1時間以上経ってから以下のようなコマンドを実行して不要なファイルを削除してください。
$ sudo find /var/cache/shibboleth/ -name \*.json -type f -mmin +60 -exec rm {} \;
shibboleth2.xmlの新形式への移行
shibboleth2.xmlがv2とv3で唯一異なる形式を持つファイルです。SP v3でも旧形式のファイルを読み込むことは可能ですがいずれサポートされなくなりますので新形式に移行する手順をご紹介します。
紛らわしいですがファイル名はv3でも shibboleth2.xml のままです。
まず、アップデート後起動するとDEPRECATEDと表示されているログが見られると思います。これは新形式で許容されない記述の指摘ですので、DEPRECATEDが表示されなくなるまで修正を繰り返します。典型的には
<MetadataProvider type="XML" validate="true" file="partner-metadata.xml"/>
のような記述の file=
を path=
に、 uri=
を url=
に修正する必要があります。
DEPRECATEDログが出なくなったら、ファイル先頭の2.0を3.0に変更(2か所)して完了です。
<SPConfig xmlns="urn:mace:shibboleth:3.0:native:sp:config"
xmlns:conf="urn:mace:shibboleth:3.0:native:sp:config"
2. SP 3.0.0からの新機能
(まとめ中)
Stateless Clustering
/Shibboleth.sso/Logout/Admin
なお、CentOS 7ではXerces Cライブラリを独自提供することによりDTDを無効化するという機能強化が行われております。攻撃耐性強化のために、是非移行をご検討ください。
レアケースですがSPが直接外部サーバへHTTPS接続する場合、配布されている設定ファイルでは(つまりv3で新規に構築すると)TLS 1.2以上を使うように強制されます。問題がある場合はshibboleth2.xmlのcipherSuitesの項を修正してください。
3. その他の情報
shibbolethリポジトリが冗長化され設定ファイルが変更になっております。古いものをお使いの場合は技術ガイドの手順に従って /etc/yum.repo.d/shibboleth.repo
ファイルを更新してください。これに伴いパッケージの更新が必要になることはありません。