IdPとのSP接続確認
...
本手順は、下図のようにユーザ端末のブラウザからhttps://…というURLにアクセスし、①から⑤の機能が赤線のように通信しあって結果を表示する動作を確認するものです。
Image Added
接続確認の前に不足している設定を実施します。
1.attribute-map.xml, attribute-policy.xmlの準備
...
初期設定で「/root/GETFILE」に取得している実習セミナー用のattribute-map.xml、attribute-policy.xmlファイルを「/etc/shibboleth」配下にコピーし、デフォルトのファイルを差し替えてください。shibboleth」配下にコピーし、デフォルトのファイルを差し替えてください。
この設定ファイルは、実習セミナー内のIdPサーバから全属性値を受け取る設定となっています。
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
|
# /bin/cp -f /root/GETFILE/attribute-*.xml /etc/shibboleth/
|
...
...
2. shibdとhttpdの再起動
...
設定ファイルを差し替えたら、shibdおよびhttpdを再起動してください。
...
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
|
# systemctl restart shibd
# systemctl restart httpd
|
...
...
3. 構築したSPにアクセス
...
SPサーバへアクセスします。
以下のアドレスを各自のホスト名に変更してアクセスしてください。
https://ex-sp-test??.gakunin.nii.ac.jp/secure/index.php
ヒント |
---|
|
・「/var/www/html/secure/secure」配下に属性確認用のPHPファイルが既に配置済みです。 ファイル名は、indexindex.phpです。php」という属性確認用のPHPファイルが既に配置済みです。 |
展開 |
---|
|
SPへのアクセス時にエラーSPにアクセスした際に、ブラウザに下記のエラーが出力されます。
書式設定済み |
---|
shibsp::ListenerException
The system encountered an error at Wed Aug 17 19:09:20 2016
To report this problem, please contact the site administrator at
root@xxxxx.
Please include the following message in any email:
shibsp::ListenerException at (https://xxx.xxxxx.xx.xx/secure)
Cannot connect to shibd process, a site adminstrator should be notified. |
SELinuxがenabledになっている場合、このメッセージが表示されます。 SELinuxを無効にしてください。
ログインボタンを押した際にエラー(エラー:無効なクエリです) SP画面にてログインを押した際に、ブラウザに下記のエラーが出力されます。 書式設定済み |
---|
エラー: 無効なクエリです
The Service Provider 'https://xxx.xxx.xx.xx/xxx' could not be found in metadata and is therefore unknown. |
→/etc/shibboleth/shibboleth2.xmlファイルのentityID設定が間違っている場合に表示されます。 参考情報: SPセッティング - shibboleth2.xml ファイル(★) ログインボタンを押した際にエラー(サーバが見つからない) SP画面にてログインを押した際に、ブラウザに下記のエラーが出力されます。 書式設定済み |
---|
IE:
このページは表示できません
Web アドレス https://xxx.xxx.xxx.xx が正しいか確かめてください。
Firefox:
サーバが見つかりませんでした
xxx.xxx.xxx.xx という名前のサーバが見つかりませんでした。 |
→/etc/shibboleth/shibboleth2.xmlファイルのDSサーバ参照設定のURLが間違っている可能性があります。 参考情報: SPセッティング - shibboleth2.xml ファイル(★) |
...
4. DSのIdP選択画面が表示
...
DSのIdP選択画面で、対象となるテストIdPを選択します。(★)
...
実習環境内にある確認用のIdPサーバを選択します。
以下を選択してください。
ヒント |
---|
|
一度選択したIdPが表示されている状態で、別のIdPを選択したい場合は、・実習環境内にある確認用のIdPサーバを選択します。 実習セミナー接続確認用IdP 「リセット」リンクをクリックすると選択可能な全てのIdPが表示されます。 |
展開 |
---|
|
IdPを選択した際にエラー(shibsp::ConfigurationException) 所属機関の選択画面にてIdPを選び「選択」ボタンを押した際に、ブラウザに下記のエラーが出力されます。 書式設定済み |
---|
shibsp::ConfigurationException
The system encountered an error at Tue Jan 01 00:00:00 2013
To report this problem, please contact the site administrator at root@localhost.
Please include the following message in any email:
shibsp::ConfigurationException at (https://ex-sp-testxx.gakunin.nii.ac.jp/Shibboleth.sso/DS)
No MetadataProvider available. |
また、/var/log/shibboleth/shibd_warn.log に下記のエラーが出力されます。
書式設定済み |
---|
2013-01-01 00:00:00 ERROR OpenSSL : error code: 33558530 in bss_file.c, line 355
2013-01-01 00:00:00 ERROR OpenSSL : error data: fopen('/etc/shibboleth/cert/xxxx.cer','r')
2013-01-01 00:00:00 ERROR OpenSSL : error code: 537346050 in bss_file.c, line 357
2013-01-01 00:00:00 ERROR OpenSAML.Metadata : caught exception while installing filters: Unable to load certificate(s) from file (/etc/shibboleth/cert/xxxx.cer). |
→/etc/shibboleth/shibboleth2.xmlにてメタデータ署名検証用証明書の設定が間違っている可能性があります。 実習セミナー環境での当該証明書は「ex-fed.crt」となっています。ファイルが指定場所にあるか、ファイル名が間違っていないか確認ください。 テストフェデレーション、運用フェデレーションにおける当該証明書については技術ガイドのSPセッティング - shibboleth2.xml ファイル(★)を参照下さい。 |
...
5. ログイン
...
IDとPasswordを入力してログインします。(★)
ヒント |
---|
|
・接続確認用ユーザ情報は、以下のようになっています。 ID:test001、パスワード:test001 ID:test002、パスワード:test002 ID:test003、パスワード:test003 何れかを使用して、ログインしてください。 |
...
展開 |
---|
|
属性値が全てNOT RECEIVEDになってしまう ログイン後の各属性値の表示画面にて、値を取得できずにNOT RECEIVEDが表示されます。 また、/var/log/shibboleth/shibd_warn.log に下記のエラーが出力されます。 書式設定済み |
---|
2013-01-01 00:00:00 ERROR Shibboleth.AttributeResolver.Query [1]: exception during SAML query to https://xxx.xxx.xxx.xx:8443/idp/profile/SAML2/SOAP/AttributeQuery: CURLSOAPTransport failed while contacting SOAP endpoint (https://xxx.xxx.xxx.xx:8443/idp/profile/SAML2/SOAP/AttributeQuery): Failed connect to xxx.xxx.xxx.xx:8443; Connection refused
2013-01-01 00:00:00 ERROR Shibboleth.AttributeResolver.Query [1]: unable to obtain a SAML response from attribute authority |
|
...