GakuNinShibInstall

スペース ショートカット

ページ ツリー

比較バージョン

古いバージョン 109

changes.mady.by.user Yoshiaki Kawano

保存しました

次と比較

新しいバージョン 110

changes.mady.by.user Yoshiaki Kawano

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

...

      • jetty 9.4
        • jetty-distribution-9.4.32.v20200930を使った手順となっています。
          ※いずれも以下のShibbolethのサイト「Jetty94」が情報源です。
      • Java 11

        • Java 11以降のバージョンのみ対応しています。

          注意

          文字列置換のためのJavaScriptメソッド "abc".replace("a", "b") について、Java 7では全置換されていたものがJava 8では先頭の一致した部分しか置換されなくなるという情報があります。当該メソッドを使って全置換を行っている場合は正規表現 8では先頭の一致した部分しか置換されなくなるという情報があります。
          当該メソッドを使って全置換を行っている場合は正規表現 replace(/a/g, "b") を使うようにしてください。

        • Oracle JDK / OpenJDK 11にてLDAPサーバへの接続にLDAPSを使う場合、以下のエラーになるという情報があります。

          書式設定済み
          java.lang.NullPointerException: Thread local SslConfig has not been set

          原因はJDKのバグであるとのことです。該当する場合、以下でUnboundIDを使う回避策が提示されています。
          https://wiki.shibboleth.net/confluence/display/IDP30/LDAPonJava>8
          詳細: https://issues.shibboleth.net/jira/browse/IDP-1357

        • エントロピー不足で起動が遅くなる場合があるという情報があります。jre/conf/security/java.securityやシステムプロパティ等で対処してください。
          確認方法および手順例: IdPのサービス動作状況の確認の「よくあるエラー」の503エラーの項
          • この問題はCentOS 7を使っている場合に顕著です。
          • VMで稼働させていてこの問題がある場合、ホストマシンでHavegedを導入しVMからこれを参照する等で十分なエントロピーを生成できる場合があるようですので、合わせてご検討ください。
        • GNU Javaは利用できません。 OpenJDKもしくはOracleのJavaを利用してください。

...

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid

(省略)
<VirtualHost _default_:443>
(省略)
#ServerName example-idp.nii.ac.jp:443 ←ホスト名
↑コメントアウト(#)を削除
↓以下を追加
RequestHeader set X-Forwarded-Port 443 env=HTTPS
RequestHeader set X-Forwarded-Proto "https" env=HTTPS
ProxyPass /idp/ http://localhost:8080/idp/ connectiontimeout=5 timeout=15
RequestHeader set REMOTE-USER %{REMOTE_USER}s
(省略)

情報

加えて、SSL 3.0プロトコルに対する攻撃が発見されておりますので、当該プロトコルを無効化することをお勧めします。⇒0プロトコルに対する攻撃が発見されておりますので、当該プロトコルを無効化することをお勧めします。
SSLバージョン3の脆弱性について (CVE-2014-3566)

パネル

SSLProtocol all -SSLv2 -SSLv3

/etc/httpd/conf.d/virtualhost-localhost80.conf を以下の内容で作成してください。これはShibboleth  を以下の内容で作成してください。
これはShibboleth IdPが提供するreload-metadata.sh等のコマンドを使った操作を可能にするためのものです。

注意

すでに同一のvirtual hostを別のところで定義している場合は、そちらに含めてください。また、すでに hostを別のところで定義している場合は、そちらに含めてください。
また、すでに _default_:80 のVirtualHostが定義されている場合はその中の宣言が localhost:80 に適用されなくなりますので、必要であればその宣言をこのファイルにも含めてください。

_default_:80 が定義されているファイルに下記ProxyPassを含める方法もありますが、外部からの通常のアクセスがセキュアでない80番ポートに対しても行えることになりますので推奨しません。(もちろん、ファイアウォール等で適切に対処されていれば問題ありません)が定義されているファイルに下記ProxyPassを含める方法もありますが、外部からの通常のアクセスがセキュアでない80番ポートに対しても行えることになりますので推奨しません。
(もちろん、ファイアウォール等で適切に対処されていれば問題ありません)

パネル
bgColor#eeeeee

<VirtualHost localhost:80>
 ProxyPass /idp/ http://localhost:8080/idp/ connectiontimeout=5 timeout=15
</VirtualHost>

...