...
ヒント | ||
---|---|---|
| ||
・実習セミナー内のSPサーバにアクセスして、確認します。 |
...
3.DSのIdP選択画面が表示(★)
DSのIdP選択画面から構築したIdPを選択します。(★)
※学認DSについての注意点:
一度選択したIdPが表示されている状態で、別のIdPを選択したい場合は、
「リセット」リンクをクリックすると選択可能な全てのIdPが表示されます。
...
展開 | ||||||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||||||
IdP選択時にブラウザにエラー(HTTPステータス 404 -)IdPを選択した際に、ブラウザに下記のエラーが出力されます。
→IdPの各種設定ファイルにて記述ミスの可能性があります。
IdP選択時にページが見つからない(404 Not Found)IdPを選択した際に、Webページがみつからない、404 Not Foundといったエラーがブラウザに表示されます。
→/etc/httpd/conf.d/ssl.conf にて記述ミスの可能性があります。 IdP選択時にブラウザにエラー(HTTPステータス 404 - /idp/profile/SAML2/Redirect/SSO)IdPを選択した際に、ブラウザに下記のエラーが出力されます。
→$CATALINA_HOME/webappsにidp.warファイルがきちんとコピーできていない可能性があります。 参考情報: 貴学にてIdPをインストールする場合の構築手順 - 4. Shibbolethのインストール(★) -5. idp.war の配置(★) |
...
4.ログイン(★)
設定したIDとPasswordを利用してログイン(★)
...
展開 | ||||||||||
---|---|---|---|---|---|---|---|---|---|---|
| ||||||||||
IdPで認証時にエラー(Error Message:Error decoding authentication request mesaage)IdP選択後、認証画面にてログインした際に、ブラウザに下記のエラーが出力されます。
また、/opt/shibboleth-idp/logs/idp-process.log に下記のエラーが出力されます。
→/opt/shibboleth-idp/conf/handler.xml にて記述ミスの可能性があります。 参考情報: IdPセッティング - handler.xml ファイルの変更(★) IdPで認証時にエラー(Credentials not recognized.)IdP選択後、認証画面にてログインした際に、ブラウザに下記のエラーが出力されます。
また、/opt/shibboleth-idp/logs/idp-process.log に下記のエラーが出力されます。
→/opt/shibboleth-idp/conf/login.config にて記述ミスの可能性があります。 参考情報: IdPセッティング - login.config ファイルの変更(★) IdPで認証時にエラー(Message was signed, but signature could not be verified)IdP選択後、認証画面にてログインした際に、ブラウザに下記のエラーが出力されます。
→ トラブルシューティング を参照下さい。 |
...
variable | value |
_SERVER["unscoped-affiliation"] | faculty |
...
5.メタデータ署名検証が正常に機能していることの確認
ヒント | ||
---|---|---|
| ||
・実習セミナーでは改変されたメタデータが用意されていないのでこの項目は飛ばしてください。 |
relying-party.xmlに設定した取得するメタデータを改竄されたものに変更して、適切に署名検証が失敗することを確認してください。
relying-party.xmlの以下の部分を修正し、Tomcatを再起動してください。(元がgakunin-test-metadata.xmlの場合はgakunin-test-metadata-tampered.xmlに修正してください)
パネル | ||||||
---|---|---|---|---|---|---|
| ||||||
<metadata:MetadataProvider id="URLMD" xsi:type="metadata:FileBackedHTTPMetadataProvider" |
メタデータの署名検証に失敗した場合には、IdPのログファイル(/opt/shibboleth-idp/logs/idp-process.log)に以下の様なメッセージが出力されます。
書式設定済み |
---|
11:44:03.060 - ERROR [org.opensaml.saml2.metadata.provider.SignatureValidationFilter:311] - Signature trust establishment failed for metadata entry URLMD
11:44:03.067 - ERROR [org.opensaml.saml2.metadata.provider.AbstractReloadingMetadataProvider:393] - Error filtering metadata from https://metadata.gakunin.nii.ac.jp/gakunin-metadata-tampered.xml
org.opensaml.saml2.metadata.provider.FilterException: Signature trust establishment failed for metadata entry
at org.opensaml.saml2.metadata.provider.SignatureValidationFilter.verifySignature(SignatureValidationFilter.java:312) ~[opensaml-2.5.3.jar:na]
(...略...)
11:44:03.071 - ERROR [org.opensaml.saml2.metadata.provider.AbstractMetadataProvider:411] - Metadata provider failed to properly initializing, halting
org.opensaml.saml2.metadata.provider.MetadataProviderException: org.opensaml.saml2.metadata.provider.MetadataProviderException: Error filtering metadata from https://metadata.gakunin.nii.ac.jp/gakunin-metadata-tampered.xml
at org.opensaml.saml2.metadata.provider.AbstractReloadingMetadataProvider.refresh(AbstractReloadingMetadataProvider.java:266) ~[opensaml-2.5.3.jar:na]
(...略...)
11:44:03.073 - ERROR [edu.internet2.middleware.shibboleth.common.config.BaseService:188] - Configuration was not loaded for shibboleth.RelyingPartyConfigurationManager service, error creating components. The root cause of this error was: org.opensaml.saml2.metadata.provider.FilterException: Signature trust establishment failed for metadata entry |
検証に失敗した場合、起動に失敗しますのでIdPで認証しようとすると代わりにエラー画面(HTTP Status 404)が表示されます。また、この時点でバッキングファイルは改竄されたもので上書きされていますので、バッキングファイルを使って復旧することもできません。
バッキングファイルは /opt/shibboleth-idp/metadata/some-metadata.xml にあります。
確認後は、設定を元に戻すのを忘れないでください。
Prevnextbuttons