...
- Apache Tomcat 7 or 8
- 初期の8.5はセッションのバグにより不安定になるという情報があります。
- JMXを初期化前に使うと動作がおかしくなります。
※いずれも以下のShibbolethのサイト「Apache Tomcat 8」が情報源です。
- Java 7 or 8
- Java 9は使用できません。
Shibboleth開発元での検証中で、3.3.2についていくつかの問題が見つかっています。Java 9およびJava 10はサポートしない、いわゆるLTSのみのサポートで固まりつつあるようです。
https://wiki.shibboleth.net/confluence/display/DEV/Product+Platforms - IdPv2からの移行でかつ attribute-resolver.xml / attribute-filter.xml でスクリプトを使っている場合、引き続きJava Java 7(OpenJDK 7)の使用を推奨します。(ただしIdPv2でJava 8を使っていた場合、引き続きJava は終了の方向ですので、Java 8 (Oracle JDK 8 / OpenJDK 8) を使用してください)を使用することを推奨します。
Java 7とJava 8でスクリプトの書き方に若干の違いがあります。(書き方の違いの例)
詳細(Shibboleth Wiki): ScriptedAttributeDefinition, ScriptConfiguration, ScriptDataConnector
v2版: IdPJava1.8, ResolverScriptAttributeDefinition, IdPFilterRequirementScript
(Shibboleth Wikiでは基本的にIdPv3のページでの説明はJava 8(Nashorn)がメインでJava 7(Rhino)も併記、v2版は特に断りがなければJava 7(Rhino)での表記となっています) - Java 8を使う場合エントロピー不足で起動が遅くなる場合があるという情報があります。jre/lib/security/java.securityやシステムプロパティ等で対処してください。
詳細(Shibboleth Wiki): Installation, Troubleshooting > Slow startup time- この問題はCentOS 7を使っている場合に顕著です。
- VMで稼働させていてこの問題がある場合、ホストマシンでHavegedを導入しVMからこれを参照する等で十分なエントロピーを生成できる場合があるようですので、合わせてご検討ください。
- この問題はCentOS 7を使っている場合に顕著です。
- GNU Javaは利用できません。 OracleのJavaもしくはOpenJDKを利用してください。
- Java 9は使用できません。
...
運用フェデレーション参加後に、ホスト名を変更する場合はいくつか考慮・解決すべき点があります。ホスト名は十分ご検討いただいた上で設定してください。詳しくは IdPのホスト名変更に関する注意点 をご参照ください。
※このテキストはSELinuxはPermissiveに設定されているものとして書かれております。下記コマンドでSELinux設定を確認してください。
パネル | ||||||
---|---|---|---|---|---|---|
| ||||||
$ /usr/sbin/getenforce |
・ネットワーク設定
環境に合わせ、ホスト名・ネットワーク・セキュリティを設定して下さい。
...
※Shibbolethでは、通信するサーバ間の時刻のずれが約5分を越えるとエラーになります。
...
アンカー | ||||
---|---|---|---|---|
|
3. jdk 8、tomcat 7をインストールする
...
展開 | ||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||
http://java.sun.com/javase/downloads/index.jsp にあります"Java SE 8u???"の項にある"JDK"の項より構築環境に合わせてダウンロードしたパッケージを適当なフォルダに置いて、以下のコマンドを実行してください(???は用意されているjdkのリビジョン番号にあわせて記述して下さい)。
上記のようにインストールした場合、パッケージ名は 8u161およびそれ以降の場合、暗号アルゴリズムの制限は解除済みですので特に操作は不要です。念のため下記 8u151および8u152の場合、暗号アルゴリズムの制限を解除するために、
|
3. tomcat 7のインストール
CentOS 7の場合、標準パッケージにTomcat 7があるため、yumにてインストールします。
...
展開 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
CentOS 6の場合、標準パッケージにはTomcat 7がないため、Apache Software Foundationが配布するTomcatパッケージをダウンロードしてインストールします。
自動起動スクリプトを利用すると便利です。ZIPを解凍後にtomcat 7起動スクリプトファイルをコピーします。
自動起動の設定 (このオプション指定では マイナス ‘-’ が2つ必要です)
|
パネル | ||||||
---|---|---|---|---|---|---|
| ||||||
# useradd -r -d /usr/java/tomcat -s /sbin/nologin -c "Tomcat daemon" tomcat |
ダウンロードした起動スクリプトを使用する場合は以下のように修正します。(
/etc/rc.d/init.d/tomcat7
) 情報 |
---|
もしTomcatが起動していれば、修正前にstopしてください。 |
パネル | ||||||
---|---|---|---|---|---|---|
| ||||||
|
パネル | ||||||
---|---|---|---|---|---|---|
| ||||||
|
また、Tomcatのpidファイル及び保存されているディレクトリを ls -dl
等で所有者・パーミッションを確認の上、必要なら変更してください。
パネル | ||||||
---|---|---|---|---|---|---|
| ||||||
|
...
パネル | ||||||
---|---|---|---|---|---|---|
| ||||||
|
...
...
アンカー | ||||
---|---|---|---|---|
|
4. Shibbolethのインストール
...
情報 |
---|
ダウンロードしたファイルの真正性を確かめるにはPGP署名(ダウンロードURLに".asc"を追加したもの)を確認してください。 |
...
2. インストール
shibboleth-identity-provider-3.?.?.tar.gz を適当なディレクトリに置いて、以下のコマンドを実行してください。
...
上記のような質問に答えながら、インストールを行います。
3. パーミッションの調整
Tomcatが”tomcat”ユーザで起動されるので、参照や書き込みが行えるようにディレクトリの所有者を変更します。
同様に、設定ファイルやメタデータの保存ディレクトリなどの所有者・パーミッションも変更します。
...
ヒント |
---|
IdPが実際に使用する証明書の秘密鍵はまだ配置されておりませんので、所有者・パーミッションは後の手順で設定します。 |
4. jakarta-taglibs-core.jar と jakarta-taglibs-standard.jar の配置
...
展開 | |||||||||
---|---|---|---|---|---|---|---|---|---|
| |||||||||
|
Tomcatの起動後、${CATALINA_BASE}/logs/catalina.{日付}.log にエラーが出力されていない事を確認してください。
...
アンカー idpInst5 idpInst5
5. サービスの起動・停止方法
サービス | 起動コマンド | 停止コマンド | 再起動コマンド |
---|---|---|---|
httpd | systemctl start httpd | systemctl stop httpd | systemctl restart httpd |
tomcat | systemctl start tomcat | systemctl stop tomcat | systemctl restart tomcat |
展開 | ||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||
|
...
...
インストールが完了したら,サイト情報等の設定を行って下さい.
...