GakuNinShibInstall

スペース ショートカット

ページ ツリー

比較バージョン

古いバージョン 14

changes.mady.by.user Takeshi Nishimura

保存しました

次と比較

新しいバージョン 15

changes.mady.by.user m-suenaga@nii.ac.jp

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

...

情報

eduGAINメタデータはサイズが大きいため、読み込むには多くのメモリが必要です。事前に十分なメモリが割り当てられていることを確認してください。技術ガイドの手順にあるように"-Xmx1500m"(1.5GB)以上が指定されていれば大丈夫です。

eduGAINメタデータを検証するための証明書(https://technical.edugain.org/mds-2014v1.cer)をダウンロードして、任意のディレクトリに置き、そのパスを設定します。(以下では「/opt/shibboleth-idp/credentials/」に置いたものとして説明しています)

ダウンロードした検証用証明書のフィンガープリントが下記と一致するか確認してください。

  • SHA-256

    パネル
    SHA-256: 121B:8FE3:40AD:34AF:6A99:D0EA:BE23:D0A5:D21B:927D:8E82:07C5:1160:8943:90DE:A738:46BE:043A:30A9:2253:D0F8:3DC1:558F:22ED:2EBF:62D9:60BE:7CC2:C399:D52C:406A:C0F9

  • SHA-1

    パネル
    SHA-1: 8B1D:8170:7A87:0C71:F3A7:F86E:35EA:2FD8:8500:9111:9FCC:1155:3735:1467:3F3E:988C:9119:8C1F:F862:34 C0

eduGAINメタデータを自動的にダウンロードする設定を行います。/opt/shibboleth-idp/conf/metadata-providers.xml ファイルで、学認の運用フェデレーションメタデータを読み込む設定の直下に下記の設定を追加してください。

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid

    <MetadataProvider id="HTTPMetadata-eduGAIN"
                      xsi:type="FileBackedHTTPMetadataProvider"
                      backingFile="%{idp.home}/metadata/edugain-feed-sha256-backing.xml"
                      ↑ eduGAINメタデータは上記のファイル名で保存されます。必要に応じて調整してください。
                      metadataURL="httphttps://mds.edugain.cdn.samlbits.net/org/edugain-v1.xml">

        <MetadataFilter xsi:type="SignatureValidation" requireSignedRoot="true"
                        certificateFile="%{idp.home}/credentials/mds-2014v1.cer"/>
        <MetadataFilter xsi:type="RequiredValidUntil" maxValidityInterval="P9D"/>
                                                                       ↑ 9日間を設定します。
        <!-- MetadataFilter xsi:type="SchemaValidation"/ -->
        <MetadataFilter xsi:type="EntityRoleWhiteList">
            <RetainedRole>md:SPSSODescriptor</RetainedRole>
        </MetadataFilter>
    </MetadataProvider>

注意

上記設定でSignatureValidationをコメントアウトしていますが、これは意図的なものです。有効にすると以下を含むエラーが記録され起動しません。(2017年1月6日時点)

書式設定済み
Caused by: net.shibboleth.utilities.java.support.resolver.ResolverException: Error filtering metadata from http://mds.edugain.org/feededugain-sha256v1.xml
        at org.opensaml.saml.metadata.resolver.impl.AbstractReloadingMetadataResolver.processNonExpiredMetadata(AbstractReloadingMetadataResolver.java:430)
Caused by: org.opensaml.saml.metadata.resolver.filter.FilterException: Incoming metadata was not schema valid
        at org.opensaml.saml.metadata.resolver.filter.impl.SchemaValidationFilter.filter(SchemaValidationFilter.java:121)
Caused by: org.xml.sax.SAXParseException: cvc-elt.4.2: Cannot resolve 'fed:ApplicationServiceType' to a type definition for element 'md:RoleDescriptor'.
        at com.sun.org.apache.xerces.internal.util.ErrorHandlerWrapper.createSAXParseException(ErrorHandlerWrapper.java:198)

...

学認に参加しているSPでeduGAINメタデータを読み込む手順です。技術ガイド shibboleth2.xml ファイル の手順に従って、学認の運用フェデレーションメタデータを読み込んでいる前提で説明します。

eduGAINメタデータを検証するための証明書https://technical.edugain.org/mds-2014v1.cerをダウンロードして、任意のディレクトリに置き、そのパスを設定します。(以下では「 /etc/shibboleth/cert/」に置いたものとして説明しています)

ダウンロードした検証用証明書のフィンガープリントが下記と一致するか確認してください。

  • SHA-256

    パネル
    SHA-256: 121B:8FE3:40AD:34AF:6A99:D0EA:BE23:D0A5:D21B:927D:8E82:07C5:1160:8943:90DE:A738:46BE:043A:30A9:2253:D0F8:3DC1:558F:22ED:2EBF:62D9:60BE:7CC2:C399:D52C:406A:C0F9

  • SHA-1

    パネル
    SHA-1: 8B1D:8170:7A87:0C71:F3A7:F86E:35EA:2FD8:8500:9111:9FCC:1155:3735:1467:3F3E:988C:9119:8C1F:F862:34 C0

eduGAINメタデータを自動的にダウンロードし、検証するための設定を行います。/etc/shibboleth/shibboleth2.xml ファイルで、学認の運用フェデレーションメタデータを読み込む設定の直下に下記の設定を追加してください。

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid

        <!-- for eduGAIN -->
        <MetadataProvider type="XML"
              url="http://edugain.cdn.samlbits.net/edugain-v1.xml"
              backingFilePath="edugain-feed-sha256.xml" maxRefreshDelay="7200">
                 ↑ eduGAINメタデータは上記のファイル名で保存されます。必要に応じて調整してください。
            <MetadataFilter type="RequireValidUntil" maxValidityInterval="777600"/>
                                                          ↑ 9日間(777600秒)を設定します。
            <MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/mds-2014v1.cer"/>
            <DiscoveryFilter type="Blacklist" matcher="EntityAttributes" trimTags="true"
              attributeName="http://macedir.org/entity-category"
              attributeNameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri"
              attributeValue="http://refeds.org/category/hide-from-discovery" />
        </MetadataProvider>

ヒント

バッキングファイルが他者によって変更されないことが確実な場合はSignature MetadataFilterの末尾に verifyBackup="false" を追加してください。起動時のメタデータ読み込み時にバッキングファイルの署名検証がスキップされ起動が速くなります。(バージョン2.6およびそれ以降で対応)

パネル

            <MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/mds-2014v1.cer" verifyBackup="false"/>

...