GakuNinShare

スペース ショートカット

子ページ
  • トラブルシューティング

比較バージョン

古いバージョン 25

changes.mady.by.user Takeshi Nishimura

保存しました

次と比較

新しいバージョン 26

changes.mady.by.user (not used) KUROSAKA Shoichi

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

...

  • IdPで認証前にブラウザにエラー
    書式設定済み
    Error Message: SAML 2 SSO profile is not configured for relying party https://sp.example.ac.jp/shibboleth-sp
    →relying-party.xmlにこのSPだけに対する特殊な<RelyingParty>設定があり、かつその中に SAML2SSOProfile の設定が抜けているとこのエラーになります。
     もしくは、このSPが最近追加されたものである場合、IdPが最新のメタデータ取得に失敗している可能性があります。
  • IdPで認証時にブラウザにエラー
    Shibboleth認証時にブラウザに下記のエラーが出力されます。
    書式設定済み
    
opensaml::FatalProfileException
The system encountered an error at Tue Apr 30 12:13:14 2013
To report this problem, please contact the site administrator at root@localhost.
Please include the following message in any email:
opensaml::FatalProfileException at (https://sp.example.ac.jp/Shibboleth.sso/SAML2/POST)
Message was signed, but signature could not be verified.
    →IdPのrelying-party.xmlの <security:Credential id="IdPCredential"> の security:Certificate に設定している証明書(対応する秘密鍵は security:PrivateKey で指定されていること)と、学認申請システムに登録した証明書が一致することを確認してください。不一致である場合は上記のエラーが出力されます。
    →参考情報 : https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPTroubleshootingCommonErrors#NativeSPTroubleshootingCommonErrors-Messagewassignedbutsignaturecouldnotbeverified
  • attribute-filter.xmlに属性を送信するように設定しているはずなのに送信されない。
    →attribute-filter.xml中のAttributeFilterPolicy要素のidが重複していると、最後のものしか有効にならないようです。idが重複しないように修正してください。
  • 2.3.8もしくはそれ以前のIdPで認証前にログにエラー
    書式設定済み
    1:19:57.770 - ERROR [org.opensaml.xml.security.SigningUtil:250] - Error during signature verification java.security.SignatureException: Signature length not correct: got 256 but was expecting 128
    ブラウザには以下のエラーが表示されます。
    書式設定済み
    Error Message: Message did not meet security requirements
    以下の条件を全て満たす場合、認証要求(AuthnRequest)の署名検証時に確率的に問題が発生することが確認されています。IdPのバグで、2.4.0で修正予定です。SPメタデータに記載されている不要な証明書を削除することにより回避可能です。
    詳細: https://issues.shibboleth.net/jira/browse/JXT-99
    1. IdPがJava 7を使用している。
    2. 接続しようとしているSPのメタデータに1024bitの証明書と2048bitの証明書が混在している。
    3. SPが認証要求(AuthnRequest)に署名している。
  • aacli.shが実行できない問題の対処
    Shibboleth IdPにはaacli.shというコマンドがあり、任意のSP(entityID)と任意のユーザ名を引数に与えることでSPに送出される属性がXMLで取得できます。IdP 2.3.5 ~ IdP 2.3.8ではIdPに含まれるファイルが変更となった影響でそのまま実行すると NoClassDefFoundError となります。
    書式設定済み
    $ sudo -u tomcat /opt/shibboleth-idp/bin/aacli.sh --configDir /opt/shibboleth-idp/conf/ --principal=test001 --requester=https://sp.example.ac.jp/shibboleth-sp
Exception in thread "main" org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'shibboleth.HandlerManager': Initialization of bean failed; nested exception is java.lang.NoClassDefFoundError: javax/servlet/ServletRequest
       at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.doCreateBean(AbstractAutowireCapableBeanFactory.java:480)
                    :
    → 上記エラーが出力された場合はTomcatのjarファイルを参照するようにしてください。
    書式設定済み
    $ sudo ln -s $CATALINA_HOME/lib/servlet-api.jar /opt/shibboleth-idp/lib/
    → aacli.shコマンドの詳細は https://wiki.shibboleth.net/confluence/display/SHIB2/AACLI をご参照ください。
    → 参考情報 : 情報交換メーリングリストupki-fed:00419

...