GakuNinShibInstall

スペース ショートカット

ページ ツリー

比較バージョン

古いバージョン 5

changes.mady.by.user kikuchihara

保存しました

次と比較

新しいバージョン 現在

changes.mady.by.user Takeshi Nishimura

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

目次

目次

事前説明(AWS)

IdP、又はSPの構築を行うサーバ

事前作業(シンクライアント環境)

IdP、又はSPの構築にあたって、ベースとなるOS (Linux/CentOS)の起動と初期設定(ネットワークの設定など)をのインスタンスは、既にAWS上に起動されており、
以下の手順にて行ってください。Tera Term等SSHクライアントでログインすることができます。
※使用するサーバは、「CentOS5 32bit」です。
※VMwareを使用していますが、必ずしも推奨している訳ではありません。

1. VMイメージよりOS起動

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
VMware Playerを起動させてください。
 画面左のリストより実習用Shibboleth-IdP、又は実習用Shibboleth-SPを選択し、
 画面右下にある「仮想マシンの再生」をクリックしてください。
 ※初回起動時には、イメージをコピーしたか移動したかの確認メッセージが表示されます。
  その際は、「コピーしました」を選択してください。
 ※OSのインストールと、DNS登録、時刻同期の設定のみ完了している状態です。

2. ゲストOSの初期設定

...

CentOS7 64bit」です。


IdP構築用とSP構築用のホスト名は以下の通りです。?? の部分は数字2桁で、受講者の番号で置き換えてください。
※ 活用編でも同じホスト名となります。ただしIdP/SPの基本的な部分は構築済みです。
ex-idp-test??.gakunin.nii.ac.jp
ex-sp-test??.gakunin.nii.ac.jp

例)1番を割り振られた場合のIdP
ex-idp-test01.gakunin.nii.ac.jp

例)10番を割り振られた場合のSP
ex-sp-test10.gakunin.nii.ac.jp


受講者から事前に頂戴した公開鍵は上記ホストに設定済みです。また事前に頂戴したIPアドレスからのSSHアクセスを許可しております。SSH(公開鍵認証)でログインして操作してください。
SSHでのログインはユーザーcentosで行ってください。作業の効率化のため、sudoでrootユーザーになっておいてください。

...

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
VMware Playerの画面をクリックすると操作対象がVMwareのコンソールに移ります。
 OSのサービスが全て起動し、ログインプロンプト(login:)が表示されたら、
 rootユーザでログインします。
 ※「Ctrl+Alt」キーで、操作対象をWindowsに戻す事ができます。

 
・初期設定シェルスクリプトの実行

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
実習セミナー環境での初期設定は、コンソール画面よりシェルスクリプトを実行して行います。
 シェルスクリプトがネットワークの設定を行うとともに、実習セミナー内のDSサーバから
 証明書、メタデータのテンプレート取得などを行います。
 以下のコマンドラインを実行してください。
 
 # /root/TOOL/initSetting.sh 割り振られた番号
 
 例)1番を割り振られた場合(PC:cb0001)
 # /root/TOOL/initSetting.sh 1
 
 初期設定スクリプトが取得したファイルは、「/root/GETFILE」に保存されます。
 初期設定が完了すると、以降はTeraTermで操作していきます。
 表示されるホスト名を接続先として、TeraTermで接続してください。
 (コンソール画面は、閉じないで最小化しておいてください。)
 
 注意:1日目終了時点では、ゲストOSのシャットダウンは、行わないでください。ゲストOSは、
     必ず×をクリックして、そのままコンソール画面を閉じます。(サスペンドする設定になって
      います。メニューの「仮想マシン」→「パワー」→「サスペンド」を選択しても同じです。)
     このようにすると、構築した情報が保存されるので、2日目にその状態から再開することが
     できます。

...

$ sudo -i


あらかじめインターネットから取得したファイルならびに構築に必要なファイルが、「/root/PKG」および「/root/GETFILE」に保存されています。

注意

作業を行なっているサーバのシャットダウンは、行わないでください。

再起動は良いですが、シャットダウンしてしまうと、インスタンスが停止してしまい操作できなくなります。なお、本セミナーでサーバの再起動を必要とする箇所はありません。説明の中で再起動と言った場合、IdPやSPのプロセス再起動を指しています。

ヒント

IdPとSPの双方を操作することになります。自分がどちらのサーバを扱っているのか、常時意識してください。

ヒント

OpenSSHをお使いの場合、.ssh/configに以下の設定をしておくとSSH先の指定が楽になります。

コード ブロック
Host ex-idp-test00
HostName ex-idp-test00.gakunin.nii.ac.jp
User centos
Port 22
IdentityFile ~/.ssh/秘密鍵ファイル
Host ex-sp-test00
HostName ex-sp-test00.gakunin.nii.ac.jp
User centos
Port 22
IdentityFile ~/.ssh/秘密鍵ファイル

上記設定をした場合のSSHコマンド例:

コード ブロック
# ssh ex-idp-test00
# ssh ex-sp-test00


...

Shibboleth構築作業について

1. IdP構築:接続確認までの流れ

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
  1)Javaのインストール

  2)Jettyのインストール
  ・Shibboleth用各種設定ファイル群(jetty-base)の設定など

2)Tomcatのインストール
      変更ファイル: /etc/profile, httpd.conf, ssl.conf, server.xml

  3)Shibboleth-IdPのインストール
      変更ファイル: java.security

  4)Shibboleth-IdPの設定
    ・メタデータの自動ダウンロード設定
    ・認証方法をID/パスワード認証に設定・証明書の設定
    ・認証時のLDAP接続設定

  ・NameIDの設定
  ・LDAPのパスワードやSalt値の設定
      変更ファイル: relyingmetadata-partyproviders.xml, idp.properties, handler.xmlldap.properties, saml-nameid.properties, loginsecrets.configproperties 

  5)SPへの送信属性に関する設定
    ※実習セミナーでは、設定済みファイルに置き換え
      変更ファイル: attribute-resolver.xml, attribute-filter.xml

  6)ApacheおよびIdPへの証明書の設定
      変更ファイル: ssl.conf, relying-party.xml

  7)メタデータの作成と提出

  8)講師用のSPを使った接続確認

2. SP構築:接続確認までの流れ

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
  1)Shibboleth-SPのインストール
      変更ファイル: ssl.conf

  2)Shibboleth-SPの設定
      ・EntityIDの設定
      ・DSサーバの参照設定・DSの参照設定
      ・メタデータの自動ダウンロード設定
      変更ファイル: shibboleth2.xml

  3)ApacheおよびSPへの証明書の設定
      変更ファイル: ssl.conf, shibboleth2.xml

  4)メタデータの作成と提出

  5)IdPからの受信属性に関する設定
      ※実習セミナーでは、設定済みファイルに置き換え
      変更ファイル: attribute-map.xml, attribute-policy.xml

  6)講師用のIdPを使った接続確認

 

...


...

実習セミナー環境での設定ホスト一覧(AWS)

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
 DSサーバ: DS:
  training  ex-ds.gakunin.nii.ac.jp
  ※SPに設定するDSのURL
   →https://trainingex-ds.gakunin.nii.ac.jp/discovery/WAYF

 LDAPサーバ:
  training  ex-dsldap.gakunin.nii.ac.jp

 レポジトリサーバ(メタデータ自動ダウンロードで参照):
  training  ex-ds.gakunin.nii.ac.jp
  ※実習セミナー内公開メタデータのURL
   →http   →https://trainingex-ds.gakunin.nii.ac.jp/fed/trainingex-fed-metadata.xml

 メタデータ提出先:
  training  ex-ds.gakunin.nii.ac.jp
  ※このホストのtestユーザのホーム配下にある「METADATA」ディレクトリ配下にアップロードします。  ※このホストのuploaderユーザのホーム配下にある「METADATA」ディレクトリ配下にアップロードします。

 接続確認用SP :
  training  ex-sp.gakunin.nii.ac.jp
  training  ex-sp2.gakunin.nii.ac.jp

 接続確認用IdP:
  training  ex-idp.gakunin.nii.ac.jp

 接続確認のURL:
  https://trainingex-sp.gakunin.nii.ac.jp/
  ※SP構築時の接続確認は、"trainingex-sp.gakunin.nii.ac.jp"の部分が各自
   構築したSPのホスト名となります。

 


...

動作確認時のTips

各種作業後にブラウザを用いてテストしますが、そのときはブラウザのプライバシーモードを使うとよいでしょう。ID・パスワードの入力状態やDSでの選択状態など過去の操作をリセットし、まっさらな状態から動作確認を行うことができます。
Chrome: シークレットウィンドウ
Firefox: プライベートウィンドウ


基礎編のIdP構築は、こちらへ。SP構築は、こちらへ。 また活用編は、IdP構築は、こちらへ。 また、SP構築は、こちらへ。