GakuNinShibInstall

スペース ショートカット

ページ ツリー

比較バージョン

古いバージョン 13

changes.mady.by.user Takeshi Nishimura

保存しました

次と比較

新しいバージョン 14

changes.mady.by.user Takeshi Nishimura

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

...

variablevalue
_SERVER["unscoped-affiliation"]faculty

 

...

5.メタデータ署名検証が正常に機能していることの確認

ヒント
title実習セミナー

・実習セミナーでは改変されたメタデータが用意されていないのでこの項目は飛ばしてください。 

relying-party.xmlに設定した取得するメタデータを改竄されたものに変更して、適切に署名検証が失敗することを確認してください。
relying-party.xmlの以下の部分を修正し、Tomcatを再起動してください。(元がgakunin-test-metadata.xmlの場合はgakunin-test-metadata-tampered.xmlに修正してください)

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
        <metadata:MetadataProvider id="URLMD" xsi:type="metadata:FileBackedHTTPMetadataProvider"
                          metadataURL="https://metadata.gakunin.nii.ac.jp/gakunin-metadata-tampered.xml"

メタデータの署名検証に失敗した場合には、IdPのログファイル(/opt/shibboleth-idp/logs/idp-process.log)に以下の様なメッセージが出力されます。

書式設定済み
11:44:03.060 - ERROR [org.opensaml.saml2.metadata.provider.SignatureValidationFilter:311] - Signature trust establishment failed for metadata entry URLMD
11:44:03.067 - ERROR [org.opensaml.saml2.metadata.provider.AbstractReloadingMetadataProvider:393] - Error filtering metadata from https://metadata.gakunin.nii.ac.jp/gakunin-metadata-tampered.xml
org.opensaml.saml2.metadata.provider.FilterException: Signature trust establishment failed for metadata entry
        at org.opensaml.saml2.metadata.provider.SignatureValidationFilter.verifySignature(SignatureValidationFilter.java:312) ~[opensaml-2.5.3.jar:na]
(...略...)
11:44:03.071 - ERROR [org.opensaml.saml2.metadata.provider.AbstractMetadataProvider:411] - Metadata provider failed to properly initializing, halting
org.opensaml.saml2.metadata.provider.MetadataProviderException: org.opensaml.saml2.metadata.provider.MetadataProviderException: Error filtering metadata from https://metadata.gakunin.nii.ac.jp/gakunin-metadata-tampered.xml
        at org.opensaml.saml2.metadata.provider.AbstractReloadingMetadataProvider.refresh(AbstractReloadingMetadataProvider.java:266) ~[opensaml-2.5.3.jar:na]
(...略...)
11:44:03.073 - ERROR [edu.internet2.middleware.shibboleth.common.config.BaseService:188] - Configuration was not loaded for shibboleth.RelyingPartyConfigurationManager service, error creating components.  The root cause of this error was: org.opensaml.saml2.metadata.provider.FilterException: Signature trust establishment failed for metadata entry

検証に失敗した場合、起動に失敗しますのでIdPで認証しようとすると代わりにエラー画面(HTTP Status 404)が表示されます。また、この時点でバッキングファイルは改竄されたもので上書きされていますので、バッキングファイルを使って復旧することもできません。

バッキングファイルは /opt/shibboleth-idp/metadata/some-metadata.xml にあります。

確認後は、設定を元に戻すのを忘れないでください。

 

Prevnextbuttons