...
として設定を行い、クライアント証明書が有効な証明書であり、かつ、上記の条件を満たす場合に認証を行う設定としています。
こちらの手順は、RemoteUserを使いクライアント証明書での認証を行えるような設定となります。
・RemoteUserを有効にする
4.1.0以降では同意機能はモジュール化されており、利用するには有効化操作が必要です。以下のコマンドを実行してください。(当該モジュールがすでに有効化されているかを確認し、有効化されていない場合に有効化するものです)
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
|
# /opt/shibboleth-idp/bin/module.sh -t idp.authn.RemoteUser || /opt/shibboleth-idp/bin/module.sh -e idp.authn.RemoteUser
|
・/opt/shibboleth-idp/conf/authn/
...
authn.properties の変更
クライアント証明書を用いた認証のために idpauthn.properties ファイルを変更します。
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
| (省略) |
# Regular expression matching login flows to enable, e.g. IPAddress| Password Password
#idp.authn.flows = Password
idp.authn.flows = X509(省略) |
...
このままだとRemoteUserが証明書認証とみなされないので、以下の設定も加える。
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
|
#### RemoteUser #### (省略) # Most other settings need to be supplied via web.xml to the servlet idp.authn.RemoteUser.supportedPrincipals = \
saml2/urn:oasis:names:tc:SAML:2.0:ac:classes:X509, \
saml2/urn:oasis:names:tc:SAML:2.0:ac:classes:TLSClient, \
saml1/urn:ietf:rfc:2246
|
・/etc/httpd/conf.d/ssl.confへの追加(赤文字の個所を追加)
※SSLVerifyClientがrequireのため問題ないはずだが、万が一証明書認証に失敗してもIdPに到達した場合REMOTE_USERヘッダに"(null)"が入ってくるため、フェイルセーフとしてrewriteの条件を入れている。
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
|
(省略)
<VirtualHost _default_:443>
(省略)
ProxyPass /idp ajp/ http://localhost: 80098080/idp/ connectiontimeout=5 timeout=15
<Location /idp/Authn/ X509> SSLCACertificateFile /opt/shibboleth-idp/credentials/Camp-CA.crt SSLVerifyClient require SSLVerifyDepth 3 SSLRequireSSL SSLOptions +ExportCertData +StdEnvVars SSLUserName RemoteUser> SSLVerifyClient require SSLVerifyDepth 3 SSLRequireSSL # SSLOptions +ExportCertData +StdEnvVars SSLUserName SSL_CLIENT_S_DN_CN
SSLRequire SSLRequire %{SSL_CLIENT_S_DN_O} eq "Test_University_A" RequestHeader set REMOTE_USER %{REMOTE_USER}s RewriteEngine On RewriteCond %{SSL:REMOTE_USER} ="" RewriteRule .* - [E=REMOTEUSERNULL] RequestHeader unset REMOTE_USER env=REMOTEUSERNULL </Location> SSLCACertificateFile /opt/shibboleth-idp/credentials/cacert.pem
(省略)
</VirtualHost>
|
...
・/opt/shibboleth-idp/edit-webapp/WEB-INF/web.xmlに対象ヘッダREMOTE_USERを追加
/conf/ldap.propertiesの変更LDAP から属性を取得する際のキーとなる属性はデフォルトでは uid ですが変更したい場合は下記の場所を変更します。web.xmlに以下の内容を追加します。
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
|
(省略)
idp.attribute.resolver.LDAP.trustCertificates = %{<!-- Servlet protected by container used for RemoteUser authentication -->
<servlet>
<servlet-name>RemoteUserAuthHandler</servlet-name>
<servlet-class>net.shibboleth.idp.authn. LDAP.trustCertificates:undefined} idp.attribute.resolver.LDAP.searchFilter = (uid=$resolutionContext.principal) ←必要に応じて変更 idp.attribute.resolver.LDAP.returnAttributes = cn,homephone,mail
(省略) |
impl.RemoteUserAuthServlet</servlet-class>
<init-param>
<param-name>checkHeaders</param-name>
<param-value>REMOTE_USER</param-value>
</init-param>
<load-on-startup>2</load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name>RemoteUserAuthHandler</servlet-name>
<url-pattern>/Authn/RemoteUser</url-pattern>
</servlet-mapping>
(省略)
|
以下を実行して、反映させます。
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
|
#
|
...
...
...
...
複数の認証手段を使うのでなければ必要ありませんが、複数の認証手段を使う予定で、この証明書認証をデフォルトにしたい(SPからの認証要求時に認証手段についての指定がない場合に証明書認証に遷移させたい)場合には、以下のように証明書認証をデフォルトの認証手段として指定しておきましょう。またApacheとJettyも再起動します。
パネル |
---|
borderColor | #cccccc |
---|
bgColor | #eeeeee |
---|
borderStyle | solid |
---|
|
※「DefaultRelyingParty」を検索し、場所を特定してください。 <bean id="shibboleth.DefaultRelyingParty" parent="RelyingParty"> <property name="profileConfigurations"> <list> (省略) <bean parent="Shibboleth.SSO" p:defaultAuthenticationMethods="urn:ietf:rfc:2246"/> (省略) <bean parent="SAML2.SSO" p:postAuthenticationFlows="attribute-release" p:defaultAuthenticationMethods="urn:oasis:names:tc:SAML:2.0:ac:classes:TLSClient"/> (省略) |
※端末のサイズによっては表記がずれる可能性がございます。画面を広くしてご覧ください。
# systemctl restart httpd
# systemctl restart jetty
|
複数の認証手段を使う場合
複数の認証手段を使うのでなければ以上で完了です。
複数の認証手段(ログインフロー)を使う(冒頭のidp.authn.flows
に Password|X509
のように複数記述する)場合で、デフォルトのログインフロー(SPからの認証要求時に認証手段についての指定がない場合に遷移するログインフロー)を指定したい場合には、4.1以降の場合は、各ログインフロー idp.authn.*.order
プロパティを調整してください。数字を指定し、小さいものが高優先度となります。
4.0.xおよびそれ以前の場合は、conf/authn/general-authn.xmlのbeanの順序を変更してください。上にあるものが優先的に選択されます。例えば3.4.0の初期設定では authn/X509
のbeanが authn/Password
のbeanより上にあるため、証明書認証が優先されます。
さらに、一部の条件で(例えば特定のSPに対して)証明書認証以外を利用させたくない場合は、relying-party.xml
のshibboleth.RelyingPartyOverrides設定で p:authenticationFlows="#{{'X509'}}"
のように利用可能な認証手段を指定してください。
トラブルシューティング
Tomcatを使っている場合で、Apacheではクライアント証明書が認識されているがその情報がTomcatに伝わっていない場合、/usr/share※Apacheではクライアント証明書が認識されているがその情報がTomcatに伝わっていない場合、/usr/java/tomcat/conf/server.xmlの8009番ポートConnectorにtomcatAuthentication="false"が設定されていることを確認してください。
参考: jdk 7、tomcat 8、tomcat 7をインストールする
参考
IdPv3の証明書認証の詳細: Shibboleth Wiki: X509AuthnConfiguration