GakuNinShare

スペース ショートカット

子ページ
  • トラブルシューティング

比較バージョン

古いバージョン 16

changes.mady.by.user (not used) KUROSAKA Shoichi

保存しました

次と比較

新しいバージョン 17

changes.mady.by.user (not used) KUROSAKA Shoichi

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

...

    1. IdPがJava 7を使用している。
    2. 接続しようとしているSPのメタデータに1024bitの証明書と2048bitの証明書が混在している。
    3. SPが認証要求(AuthnRequest)に署名している。
  • aacli.shが実行できない問題の対処
    Shibboleth IdPにはaacli.shというコマンドがあり、任意のSP(entityID)と任意のユーザ名を引数に与えることでSPに送出される属性がXMLで取得できます。IdP 2.3.5以降ではIdPに含まれるファイルが変更となった影響でそのまま実行すると NoClassDefFoundError となります。
    書式設定済み
    $ sudo -u tomcat /opt/shibboleth-idp/bin/aacli.sh --configDir /opt/shibboleth-idp/conf/ --principal=test001 --requester=https://sp.example.ac.jp/shibboleth-sp
Exception in thread "main" org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'shibboleth.HandlerManager': Initialization of bean failed; nested exception is java.lang.NoClassDefFoundError: javax/servlet/ServletRequest
       at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.doCreateBean(AbstractAutowireCapableBeanFactory.java:480)
                    :
    → 上記エラーが出力された場合はTomcatのjarファイルを参照するようにしてください。
    書式設定済み
    $ sudo ln -s $CATALINA_HOME/lib/servlet-api.jar /opt/shibboleth-idp/lib/
    → aacli.shコマンドの詳細は https://wiki.shibboleth.net/confluence/display/SHIB2/AACLI をご参照ください。
    → 参考情報 : 情報交換メーリングリストupki-fed:00419
  • IdP起動時のエラー
    SPを起動時に下記のエラーが idp-process.log に出力されます。
    書式設定済み
    
14:51:13.419 - INFO [edu.internet2.middleware.shibboleth.common.config.BaseService:158] - Loading new configuration for service shibboleth.RelyingPartyConfigurationManager
14:51:13.506 - ERROR [edu.internet2.middleware.shibboleth.common.config.BaseService:188] - Configuration was not loaded for shibboleth.RelyingPartyConfigurationManager service, error creating components.  The root cause of this error was: org.xml.sax.SAXParseException: The entity name must immediately follow the '&' in the entity reference.
    →上記のエラーは relying-party.xml にXML文法としての間違いがある場合に出力されます。
    →例えば relying-party.xml にパスフレーズ付きの証明書を設定するとき、パスフレーズに '&' や '<' を含む場合はこれらの文字列をそのまま設定することはできません。これらの文字を含む場合は文字参照で '&amp;' や '&lt;' のように記述してください。
    • 誤ったパスフレーズ設定例
      書式設定済み
      
    <security:Credential id="IdPCredential" xsi:type="security:X509Filesystem">
        <security:PrivateKey Password="myKeyPa$$word&">
                /opt/env3/SHIEN-837/cert-passphrase-amp/server-enc.key
        </security:PrivateKey>
    • 正しいパスフレーズ設定例
      書式設定済み
      
    <security:Credential id="IdPCredential" xsi:type="security:X509Filesystem">
        <security:PrivateKey Password="myKeyPa$$word&amp;">
                /opt/env3/SHIEN-837/cert-passphrase-amp/server-enc.key
        </security:PrivateKey>

SP関連

  • SPで認証後にエラー
    書式設定済み
    opensaml::FatalProfileException
...
opensaml::FatalProfileExceptionat (https://sp.example.ac.jp/Shibboleth.sso/SAML2/POST)
A valid authentication statement was not found in the incoming message.
    →SPメタデータに記載されている証明書がSPにインストールされていない。
    加えて、SPメタデータに複数証明書が記載されており、その一部がインストールされていない場合、タイミングによってエラーになったりならなかったりするので特に注意が必要。

...