比較バージョン

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

貴学にてSPをインストールする場合の構築手順


目次
maxLevel2
minLevel2
stylenone



アンカー
spInst1
spInst1

1. Shibboleth SP (version 3.0以降) の動作要件

以下は本技術ガイドで構築する前提となる環境です。

    • Apache HTTP Server 2.4以上と mod_ssl

他の環境および最新の情報はShibbolethのサイトでご確認ください:
全体LinuxmacOS, WindowsJava Servlets

 


アンカー
spInst2
spInst2

2. OSをインストールする

1. OSでの設定

  • OS(CentOS 7)インストール
    インストーラを起動してOSのインストールを行ってください。途中表示されるパッケージ選択画面では「Webサーバー」を選択してください。
    その他に必要なパッケージがある場合は、適宜インストールしてください。
    ※このテキストはSELinuxは無効化されているものとして書かれております。下記コマンドでSELinux設定を確認してください。

    パネル
    bgColor#eeeeee

    $ /usr/sbin/getenforce

  • ネットワーク設定
    環境に合わせ、ホスト名・ネットワーク・セキュリティを設定してください。
    SPでは shibd サービスが通信を行います。

2. DNSへ登録

 新しいホスト名とIPアドレスをDNSに登録してください。

3. 時刻同期の設定

 ntpサービスを用い、貴学環境のntpサーバと時刻同期をしてください。 
※Shibbolethでは、通信するサーバ間の時刻のずれが約3分を越えるとエラーになります。




アンカー
spInst3
spInst3

3. Shibbolethのインストール

SPバージョン2.3からはrepositoryが用意され、yumに対応したのでインストールが大変楽になりました。
ここで説明するのは、以下のOSについてのインストール方法となります。

  • CentOS 7/8, Red Hat Enterprise Linux 7/8 ※ただし7はOpenSSLのバージョンの関係で7.4以降向け
  • Rocky Linux 8, Amazon Linux 2

 その他のOSについては、以下を参照してください。

※Linuxの他のディストリビューションの場合
こちら
※他のOSの場合
こちら


1. repositoryファイル追加 

  Shibboleth用のrepositoryファイルをダウンロードします。
  (下記コマンドは、CentOS 7 の場合です。他のディストリビューションの場合はURLの "CentOS_7" の部分を適宜読み替えてください。ただし、RHEL 7 の場合は "CentOS_7" をご利用ください。)

対応表:

OS/バージョンURL

CentOS 7, RHEL 7

CentOS_7

※ ここに掲載されていないOSについてはこちらを参照してください

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid

# wget 'https://shibboleth.net/cgi-bin/sp_repo.cgi?platform=CentOS_7'

 yumにrepositoryファイルを追加します。(ファイル名も標準的なものに変更しています。)

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid

# cp sp_repo.cgi\?platform=* /etc/yum.repos.d/shibboleth.repo


2. インストール

  yumコマンドを使用する為、依存性のあるunixODBCなども同時にインストールされます。

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid

# yum install shibboleth

途中でPGP鍵のインポートに関して確認があります。

パネル

warning: /var/cache/yum/x86_64/7/shibboleth/packages/libsaml12-3.2.1-1.x86_64.rpm: Header V4 RSA/SHA256 Signature, key ID 02277962: NOKEY
Retrieving key from https://download.opensuse.org/repositories/security:/shibboleth/CentOS_7/repodata/repomd.xml.key
Retrieving key from https://shibboleth.net/downloads/service-provider/RPMS/cantor.repomd.xml.key
Importing GPG key 0x02277962:
 Userid     : "Scott Cantor <cantor.2@osu.edu>"
 Fingerprint: dcaa 1500 7bed 9de6 90cd 9523 378b 8454 0227 7962
 From       : https://shibboleth.net/downloads/service-provider/RPMS/cantor.repomd.xml.key
Is this ok [y/N]:

Fingerprint: に表示されている文字列が上記と一致することを確認の上、y[ENTER] を入力してください。

なお、OSインストール直後の状態でyum install shibbolethでインストールされるパッケージは以下の通りです。
  (2020年10月現在, CentOS 7にて)

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid

shibboleth 3.1.0-3.1
libcurl-openssl
libevent
liblog4shib2
libmemcached
libsaml11
libxerces-c-3_2
libxml-security-c20
libxmltooling9
opensaml-schemas
unixODBC
xmltooling-schemas


3. httpd 設定   
 

/etc/httpd/conf.d/ssl.confにて、ServerNameを設定します。

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
ServerName sp.example.ac.jp:443    ← ホスト名を設定

 

情報

加えて、SSL 3.0プロトコルに対する攻撃が発見されておりますので、当該プロトコルを無効化することをお勧めします。⇒SSLバージョン3の脆弱性について (CVE-2014-3566)

パネル
bgColor#eeeeee

SSLProtocol all -SSLv2 -SSLv3


4. shibd 起動 

以下のコマンドでshibdを起動し、自動起動設定も行います。

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
# systemctl start shibd
# systemctl enable shibd


展開
titleCentOS 6の場合
パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
# service shibd start

 


アンカー
spInst4
spInst4

4. サービスの起動・停止方法

サービス
起動コマンド
停止コマンド
再起動コマンド
httpdsystemctl start httpdsystemctl stop httpdsystemctl restart httpd
shibdsystemctl start shibdsystemctl stop shibdsystemctl restart shibd
展開
titleCentOS 6の場合
サービス
起動コマンド
停止コマンド
再起動コマンド
httpdservice httpd startservice httpd stopservice httpd restart
shibdservice shibd startservice shibd stopservice shibd restart

※shibdと同様、httpdもSPの設定ファイル(shibboleth2.xml等)を読み込みますので、設定ファイルを変更した際はhttpdの再起動もしくは再読み込み(reload)もあわせて行うようにしてください。httpdに含まれるShibbolethモジュール(mod_shib)が当該ファイルを読み込みます。



 
インストールが完了したら,サイト情報等の設定を行って下さい.