比較バージョン

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

...

パネル
borderColor#cccccc
bgColor#eeeeee
titleBGColor#ffffff
borderStylesolid
titleCentOS7の場合
# systemctl stop jetty
# systemctl restart httpd # systemctl start jetty
展開
titleCentOS6の場合
パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
# service tomcat7 stop
# service httpd restart
# service tomcat7 start


...

2.動作状況確認URLにアクセス 

IdPサーバ自身から以下のようにアクセスして確認します。

※ホスト名は必ず 127.0.0.1として下さい。

注意
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
IPv6アドレスでのアクセス制限がうまくいかない場合があります。
パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
# wget -O - http://127.0.0.1localhost/idp/status
情報
title外部からステータスページにアクセスしたい場合

監視サーバからのアクセスなど、外部からアクセスしたい場合は、アクセス元のIPアドレスを許可する必要があります。
設定を変更した場合は、再度Jettyの再起動を行ってください。 

 /opt/shibboleth-idp/conf/access-control.xml ファイルにアクセス元となるIPアドレスを設定してください。

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid

<util:map id="shibboleth.AccessControlPolicies">

    <entry key="AccessByIPAddress">
        <bean parent="shibboleth.IPRangeAccessControl"
            p:allowedRanges="#{ {'127.0.0.1/32', '::1/128', 'xxx.xxx.xxx.xxx/xx'} }" /> ← アクセス元のIPアドレス範囲を追加

    </entry>

</util:map>


以下のURLにアクセスします。

※ホスト名を構築した環境に置き換えてアクセスしてください。
https://
example-idp.nii.ac.jp/idp/status

上記のように変更した場合、同じルールを使用している他の機能(resolvertestとreload-*)へのアクセスも許可されます。
/idp/statusのみのアクセス制御を変更したい場合は、上述の<entry>要素を複製・適宜修正し、key属性にユニークな識別子を割り当てた後、idp.propertiesのidp.status.accessPolicyに当該keyを設定してください。

情報

3.3.0のidp0以降のidp.propertiesにはidp.status.accessPolicyの行がありませんので、以下のような行を追加してください。

書式設定済み
idp.status.accessPolicy = AccessByIPAddressXXX

...

各サービスの動作状況が確認できます。以下のようにShibboleth IdPのバージョンを含めて各種情報が表示され、以下と比較して大きな違いがなければ、IdPの機能が正常に動作していることの確認が出来ました。

情報

機能に問題がある場合は当該機能(service)に"last failure cause:"という行が付与されエラー内容が表示されます。

ただし、明示的にエラーが表示されず、"last successful reload attempt:"の行が表示されないのみという場合もあるようですので、全ての機能(service)にこの行が存在して最近の日時であることを確認してください。

パネル
bgColor#eeeeee
--20202021-08-10-20 1513:1319:0120--  http://127.0.0.1localhost/idp/status
Connecting toResolving localhost (localhost)... ::1, 127.0.0.1
Connecting to localhost (localhost)|::1|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 23743021 (23.3K0K) [text/plain]
Saving to: ‘STDOUT’'STDOUT'

 0% [                                                                                      ] 0           --.-K/s
s              ### Operating Environment Information
operating_system: Linux
operating_system_version: 3.10.0-5141160.636.12.el7.x86_64
operating_system_architecture: amd64
jdk_version: 11.0.812
available_cores: 1
used_memory: 178201 MB
maximum_memory: 1500 MB

### Identity Provider Information
idp_version: 4.01.12
start_time: 20202021-1008-20T0610T02:1329:02.027Z499Z
current_time: 20202021-1008-20T0610T04:1319:0420.023076Z805440Z
uptime: 1996 ms PT1H50M18.306S

enabled modules:
    idp.authn.Duo (Duo Authentication)
    idp.authn.External (External Authentication)
    idp.authn.Function (Function Authentication)
    idp.authn.IPAddress (IPAddress Authentication)
    idp.authn.MFA (MFA Authentication)
    idp.authn.Password (Password Authentication)
    idp.authn.RemoteUser (RemoteUser Authentication)
    idp.authn.RemoteUserInternal (RemoteUserInternal Authentication)
    idp.authn.SPNEGO (SPNEGO Authentication)
    idp.intercept.ContextCheck (Context Checking Interceptor)
    idp.intercept.ExpiringPassword (Expiring Password Interceptor)
    idp.intercept.Impersonate (Impersonation Interceptor)
    idp.profile.CAS (CAS Protocol Suppport)

installed plugins:

service: shibboleth.LoggingService
last successful reload attempt: 20202021-1008-09T1010T02:0427:4801.292156Z300846Z
last reload attempt: 20202021-1008-09T1010T02:0427:4801.292156Z300846Z

service: shibboleth.AttributeFilterService
last successful reload attempt: 20202021-1008-09T1010T04:0412:5213.910079Z814714Z
last reload attempt: 20202021-1008-09T1010T04:0412:5213.910079Z814714Z

service: shibboleth.AttributeResolverService
last successful reload attempt: 20202021-1008-09T1010T02:0427:5313.177978Z460500Z
last reload attempt: 20202021-1008-09T1010T02:0427:5313.177978Z460500Z
No
    No Data Connector has ever failed

service: shibboleth.AttributeRegistryService
last successful reload attempt: 20202021-1008-09T1010T02:0427:5407.400538Z803095Z
last reload attempt: 20202021-1008-09T1010T02:0427:5407.400538Z803095Z

service: shibboleth.NameIdentifierGenerationService
last successful reload attempt: 20202021-1008-09T1010T02:0427:5415.975554Z220310Z
last reload attempt: 20202021-1008-09T1010T02:0427:5415.975554Z220310Z

service: shibboleth.RelyingPartyResolverService
last successful reload attempt: 20202021-1008-09T1010T02:0427:5515.195913Z538725Z
last reload attempt: 20202021-1008-09T1010T02:0427:5515.195913Z538725Z

service: shibboleth.MetadataResolverService
last successful reload attempt: 20202021-1008-09T1010T02:0427:5609.695849Z317461Z
last reload attempt: 20202021-1008-09T1010T02:0427:5609.695849Z317461Z
metadata
    metadata source: ShibbolethMetadata
   last last refresh attempt: 20202021-1008-20T0410T02:0527:0609.342026Z825031Z
   last last successful refresh: 20202021-1008-20T0410T02:0527:0609.342026Z825031Z
   last last update: 20202021-1008-09T1010T02:0527:0309.690858Z825031Z
metadata
    metadata source: HTTPMetadataLocalMetadata
   last last refresh attempt: 20202021-1008-20T0410T02:0527:0609.342026Z825031Z
   last last successful refresh: 20202021-1008-20T0410T02:0527:0609.342026Z825031Z
   last last update: 20202021-1008-09T1010T02:0527:03.690858Z
root validUntil: 2020-10-21T23:00:00Z09.825031Z

service: shibboleth.ReloadableAccessControlService
last successful reload attempt: 20202021-1008-09T1010T02:0427:5816.927762Z532224Z
last reload attempt: 20202021-1008-09T1010T02:0427:5816.927762Z532224Z

service: shibboleth.ReloadableCASServiceRegistry
last successful reload attempt: 20202021-1008-09T1010T02:0427:5916.050186Z619707Z
last reload attempt: 20202021-1008-09T1010T02:0427:5916.050186Z619707Z

service: shibboleth.ManagedBeanService
last successful reload attempt: 20202021-1008-09T1010T02:0427:5916.148954Z721063Z
last reload attempt: 20202021-1008-09T1010T02:0427:5916.148954Z721063Z

100%[======================================================================================================>] 23,374021       --.-K/ss   in 0s20200s      

2021-08-10-20 1513:1319:0420 (371496 MB/s) - written to stdout [2374/2374]
展開
titleよくあるエラー

500 Internal Server Error

wgetコマンドの出力に以下のエラーが含まれます。

パネル

HTTP による接続要求を送信しました、応答を待っています... 500 Internal Server Error
2016-06-21 16:45:32 エラー 500: Internal Server Error。

→3.2.1およびそれ以前の場合、IdPの各種設定ファイルにて記述ミスの可能性があります。
 ログファイル /opt/shibboleth-idp/logs/idp-process.log を確認して下さい。(直近の500エラーに対応するもの((黄色い星))は無視して、それより前に記録されているエラーを確認してください)

(黄色い星) - 3.2.1およびそれ以前で記録されている以下のエラーは無視してそれより前のエラーを確認してください。このエラーは3.3.0で修正されました。

書式設定済み
2016-06-27 12:34:56,815 - ERROR [net.shibboleth.idp.profile:-2] - Uncaught runtime exception
java.lang.IllegalStateException: Exception occurred rendering view org.springframework.web.servlet.view.JstlView: name 'status'; URL [/WEB-INF/jsp/status.jsp]
	at org.springframework.webflow.mvc.view.AbstractMvcView.render(AbstractMvcView.java:200)
Caused by: org.apache.jasper.JasperException: java.lang.NullPointerException
	at org.apache.jasper.servlet.JspServletWrapper.handleJspException(JspServletWrapper.java:555)
Caused by: java.lang.NullPointerException: null
	at org.apache.jsp.WEB_002dINF.jsp.status_jsp._jspService(status_jsp.java:250)
2016-06-27 12:34:56,826 - WARN [org.opensaml.profile.action.impl.LogEvent:76] - An error event occurred while processing the request: RuntimeException

500 Internal Server Error (その2)

wgetコマンドの出力に以下のエラーが含まれます。

パネル

HTTP による接続要求を送信しました、応答を待っています... 500 Internal Server Error
2016-06-21 16:45:32 エラー 500: Internal Server Error。

さらに、Tomcatの $CATALINA_BASE/logs/localhost.<日付>.log に以下のエラーが記録されます。

パネル

Jul 07, 2016 6:45:51 AM org.apache.catalina.core.StandardWrapperValve invoke
SEVERE: Servlet.service() for servlet [idp] in context with path [/idp] threw exception [Handler processing failed; nested exception is java.lang.NoClassDefFoundError: javax/servlet/jsp/jstl/core/Config] with root cause
java.lang.ClassNotFoundException: javax.servlet.jsp.jstl.core.Config
    at org.apache.catalina.loader.WebappClassLoader.loadClass(WebappClassLoader.java:1722)
...

→ jstl.jar(jakarta-taglibs-core.jar と jakarta-taglibs-standard.jar)の配置に失敗している可能性があります。貴学にてIdPv3をインストールする場合の構築手順 > 4. jakarta-taglibs-core.jarとjakarta-taglibs-standard.jarの配置 を見直して、再度build.shを実行してみてください。

500 Internal Server Error (その3)

wgetコマンドの出力に以下のエラーが含まれます。

パネル

HTTP による接続要求を送信しました、応答を待っています... 500 Internal Server Error
2016-06-21 16:45:32 エラー 500: Internal Server Error。

さらに、ログファイル /opt/shibboleth-idp/logs/idp-process.logに以下のエラーが出力されます。

書式設定済み
2016-06-27 12:34:56,861 - ERROR [net.shibboleth.utilities.java.support.service.AbstractReloadableService:231] - Service 'shibboleth.AttributeResolverService': Reload for shibboleth.AttributeResolverService failed
net.shibboleth.utilities.java.support.service.ServiceException: Failed to load [file [/opt/shibboleth-idp/conf/attribute-resolver.xml]]
    at net.shibboleth.ext.spring.service.ReloadableSpringService.doReload(ReloadableSpringService.java:344)
Caused by: net.shibboleth.utilities.java.support.service.ServiceException: Unable to initialize attribute resolver for ApplicationContext:shibboleth.AttributeResolverService
    at net.shibboleth.idp.attribute.resolver.spring.impl.AttributeResolverServiceStrategy.apply(AttributeResolverServiceStrategy.java:74)
Caused by: net.shibboleth.utilities.java.support.component.ComponentInitializationException: Attribute Resolver 'ShibbolethAttributeResolver': Plugin 'eduPersonPrincipalName' has a dependency on plugin 'myLDAP' which doesn't exist
    at net.shibboleth.idp.attribute.resolver.impl.AttributeResolverImpl.checkPlugInDependencies(AttributeResolverImpl.java:501)

このエラーが出力される場合は、/opt/shibboleth-idp/conf/attirbute-resolver.xmlでLDAPのコネクタが有効になっているか確認してください。

参考: IdPv3セッティング - attribute-resolver.xml ファイルの変更(IdPv3) - 2.利用するコネクタを設定します。

レスポンスがないもしくは503 Service Unavailable

Tomcat起動/再起動後、起動が完了するまでしばらく時間がかかりますので、しばらくしてから再度試してください。

起動に10分前後の時間を要している場合、他の要因が考えられます。ログでは以下の2行の時間に大きな差がある場合です。特にCentOS 7、もしくはJava 8で問題になるようです。

書式設定済み
2017-03-02 16:30:18,000 - INFO [net.shibboleth.ext.spring.util.SchemaTypeAwareXMLBeanDefinitionReader:317] - Loading XML bean definitions from file [/opt/shibboleth-idp/conf/attribute-filter.xml]
2017-03-02 16:37:14,021 - INFO [net.shibboleth.ext.spring.context.FilesystemGenericApplicationContext:581] - Refreshing ApplicationContext:shibboleth.AttributeFilterService: startup date [Thu Mar 02 16:37:14 JST 2017]; parent: Root WebApplicationContext
ヒント

上記2行の間に以下の行が挟まっている場合があります。

書式設定済み
2017-03-02 16:30:18,975 - WARN [net.shibboleth.idp.attribute.filter.spring.impl.AbstractWarningFilterParser:70] - Configuration contains at least one element in the deprecated 'urn:mace:shibboleth:2.0:afp:mf:basic' namespace.

該当する場合、Java 8の場合は $JAVA_HOME/lib/security/java.security の以下の行を"random"→"urandom"にしてください。症状が改善されるはずです。

パネル

securerandom.source=file:/dev/urandom

展開
titleJava 7の場合

/etc/sysconfig/tomcat 等の JAVA_OPTS

コード ブロック
-Djava.security.egd=file:/dev/./urandom

を追加してください。

セキュリティのための処理をスキップしますので、「構築時のみこの設定を行い実運用時は元に戻す」等、取り扱いにはご注意ください。

関連: 貴学にてIdPv3をインストールする場合の構築手順の動作要件の「Java 7 or 8」の項
詳細(Shibboleth Wiki): Installationの2つ目の注意書き, Troubleshootingの"Slow startup time"の2つ目
3021/3021]


Prevnextbuttons