目次
| 目次 |
|---|
事前説明(AWS)
...
IdP、又はSPの構築を行うサーバ (Linux/CentOS)のインスタンスは、既にedubaseCloud上に起動されており、のインスタンスは、既にAWS上に起動されており、
Tera Termでログインすることができます。以下の手順に従って、初期設定を実施してください。Term等SSHクライアントでログインすることができます。
※使用するサーバは、「CentOS6 64bit」です。
...
CentOS7 64bit」です。
IdP構築用とSP構築用のホスト名は以下の通りです。?? の部分は数字2桁で、受講者の番号で置き換えてください。
※ 活用編でも同じホスト名となります。ただしIdP/SPの基本的な部分は構築済みです。
ex-idp-test??.gakunin.nii.ac.jp
ex-sp-test??.gakunin.nii.ac.jp
例)1番を割り振られた場合のIdP
ex-idp-test01.gakunin.nii.ac.jp
例)10番を割り振られた場合のSP
ex-sp-test10.gakunin.nii.ac.jp
受講者から事前に頂戴した公開鍵は上記ホストに設定済みです。また事前に頂戴したIPアドレスからのSSHアクセスを許可しております。SSH(公開鍵認証)でログインして操作してください。
SSHでのログインはユーザーcentosで行ってください。作業の効率化のため、sudoでrootユーザーになっておいてください。
| パネル | ||||||
|---|---|---|---|---|---|---|
| ||||||
タスクバー上のVPNクライアントソフトをクリックして起動します。
上部にある「GakuNin」をダブルクリックします。
接続が完了すると「VPN通信が可能になりました。」とダイアログが表示されます。
接続後、VPNクライアントソフトは閉じて問題ありません。 |
2. 初期設定ツールの実行
$ sudo -i |
あらかじめインターネットから取得したファイルならびに構築に必要なファイルが、「/root/PKG」および「/root/GETFILE」に保存されています。
| 注意 |
|---|
作業を行なっているサーバのシャットダウンは、行わないでください。 再起動は良いですが、シャットダウンしてしまうと、インスタンスが停止してしまい操作できなくなります。なお、本セミナーでサーバの再起動を必要とする箇所はありません。説明の中で再起動と言った場合、IdPやSPのプロセス再起動を指しています。 |
| ヒント |
|---|
IdPとSPの双方を操作することになります。自分がどちらのサーバを扱っているのか、常時意識してください。 |
| ヒント | ||||||
|---|---|---|---|---|---|---|
OpenSSHをお使いの場合、.ssh/configに以下の設定をしておくとSSH先の指定が楽になります。
| ||||||
| パネル | ||||||
| ||||||
割り当てられた作業を行うサーバにTera Termでログインします。
Tera Termを起動するとIdP構築用とSP構築用のホスト名が選択できます。
例)1番を割り振られた場合のIdP
ex-idp-test01.ecloud
|
上記設定をした場合のSSHコマンド例:
|
...
Shibboleth構築作業について
1. IdP構築:接続確認までの流れ
| パネル | ||||||
|---|---|---|---|---|---|---|
| ||||||
1)Javaのインストール
2)Jettyのインストール・Shibboleth用各種設定ファイル群(jetty-base)の設定など 2)Tomcatのインストール 変更ファイル: /etc/profile, httpd.conf, ssl.conf, server.xml 3)Shibboleth-IdPのインストール 変更ファイル: java.security 4)Shibboleth-IdPの設定 ・メタデータの自動ダウンロード設定 ・認証方法をID/パスワード認証に設定・証明書の設定 ・認証時のLDAP接続設定 ・NameIDの設定 ・LDAPのパスワードやSalt値の設定変更ファイル: relyingmetadata-partyproviders.xml, idp.properties, handler.xmlldap.properties, saml-nameid.properties, loginsecrets.configproperties 5)SPへの送信属性に関する設定 ※実習セミナーでは、設定済みファイルに置き換え 変更ファイル: attribute-resolver.xml, attribute-filter.xml 6)ApacheおよびIdPへの証明書の設定 変更ファイル: ssl.conf, relying-party.xml 7)メタデータの作成と提出 8)講師用のSPを使った接続確認 |
2. SP構築:接続確認までの流れ
| パネル | ||||||
|---|---|---|---|---|---|---|
| ||||||
1)Shibboleth-SPのインストール
変更ファイル: ssl.conf
2)Shibboleth-SPの設定
・EntityIDの設定
・DSサーバの参照設定・DSの参照設定
・メタデータの自動ダウンロード設定
変更ファイル: shibboleth2.xml
3)ApacheおよびSPへの証明書の設定
変更ファイル: ssl.conf, shibboleth2.xml
4)メタデータの作成と提出
5)IdPからの受信属性に関する設定
※実習セミナーでは、設定済みファイルに置き換え
変更ファイル: attribute-map.xml, attribute-policy.xml
6)講師用のIdPを使った接続確認 |
...
...
実習セミナー環境での設定ホスト一覧(AWS)
| パネル | ||||||
|---|---|---|---|---|---|---|
| ||||||
DSサーバ: DS: ex-ds.ecloudgakunin.nii.ac.jp ※SPに設定するDSのURL →https://ex-ds.ecloudgakunin.nii.ac.jp/WAYF LDAPサーバ: ex-ldap.ecloudgakunin.nii.ac.jp レポジトリサーバ(メタデータ自動ダウンロードで参照): ex-ds.ecloudgakunin.nii.ac.jp ※実習セミナー内公開メタデータのURL →https://ex-ds.ecloudgakunin.nii.ac.jp/fed/ex-fed-metadata.xml メタデータ提出先: ex-ds.ecloudgakunin.nii.ac.jp ※このホストのtestユーザのホーム配下にある「METADATA」ディレクトリ配下にアップロードします。 ※このホストのuploaderユーザのホーム配下にある「METADATA」ディレクトリ配下にアップロードします。 接続確認用SP : ex-sp.ecloudgakunin.nii.ac.jp ex-sp2.ecloudgakunin.nii.ac.jp 接続確認用IdP: ex-idp.ecloudgakunin.nii.ac.jp 接続確認のURL: https://ex-sp.ecloudgakunin.nii.ac.jp/ ※SP構築時の接続確認は、"ex-sp.ecloudgakunin.nii.ac.jp"の部分が各自 構築したSPのホスト名となります。 |
...
動作確認時のTips
各種作業後にブラウザを用いてテストしますが、そのときはブラウザのプライバシーモードを使うとよいでしょう。ID・パスワードの入力状態やDSでの選択状態など過去の操作をリセットし、まっさらな状態から動作確認を行うことができます。
Chrome: シークレットウィンドウ
Firefox: プライベートウィンドウ
基礎編のIdP構築は、こちらへ。SP構築は、こちらへ。 また活用編は、IdP構築は、こちらへ。 また、SP構築は、こちらへ。