...
1.SP にテスト用のWebページを準備
| ヒント | ||
|---|---|---|
| ||
・「/var/www/html/secure」配下に属性確認用のPHPファイルが既に配置済みです。
|
以下のような/var/www/html/secure/phpinfo.phpを作成します。
...
2.shibdとhttpdの再起動(★)
| ヒント | ||
|---|---|---|
| ||
| (★)
・初期設定で「/root/GETFILE」に取得している実習セミナー用のattribute-map.xml、
/bin/cp -f /root/GETFILE/attribute-*.xml /etc/shibboleth/
|
接続確認前にshibdとhttpdを再起動します。(★)
...
3.構築したSPにアクセス(★)
| ヒント | ||
|---|---|---|
| ||
| (★) ・各自が構築したSPサーバへアクセスします。 以下のアドレスを各自のホスト名に変更してアクセスしてください。
|
https://example-sp.nii.ac.jp/secure/phpinfo.php
4.DSのIdP選択画面が表示(★)
DSのIdP選択画面で、対象となるテストIdPを選択します。(★) ※学認DSについての注意点: 一度選択したIdPが表示されている状態で、別のIdPを選択したい場合は、 「リセット」リンクをクリックすると選択可能な全てのIdPが表示されます。
| ヒント | ||
|---|---|---|
| ||
| (★) ・実習環境内にある講師用のIdPサーバを選択します。 実習セミナーIdP 講師用 |
5.ログイン(★)
IDとPasswordを入力してログインします。(★)
| ヒント | ||
|---|---|---|
| ||
| (★) ・接続確認用ユーザ情報は、以下のようになっています。 ID:test001、パスワード:test001
|
ID, パスワードを入力してログインした後、表示される環境変数に、IdPで公開するように設定した値
(LDAPに保存されている eduPersonPrincipalNameなど)が含まれていることを確認します。
これが、IdPから渡されたユーザの属性情報となります。
...
| variable | value |
| _SERVER["unscoped-affiliation"] | faculty |
6.メタデータ署名検証が正常に機能していることの確認
| ヒント | ||
|---|---|---|
| ||
・実習セミナーでは改変されたメタデータが用意されていないのでこの項目は飛ばしてください。 |
shibboleth2.xmlに設定した取得するメタデータを改竄されたものに変更して、適切に署名検証が失敗することを確認してください。
shibboleth2.xmlの以下の部分を修正し、shibdを再起動してください。(元がgakunin-test-metadata.xmlの場合はgakunin-test-metadata-tampered.xmlに修正してください)
| パネル | ||||||
|---|---|---|---|---|---|---|
| ||||||
<MetadataProvider type="XML" uri="https://metadata.gakunin.nii.ac.jp/gakunin-metadata-tampered.xml" |
メタデータの署名検証に失敗した場合には、SPのログファイル(/var/log/shibboleth/shibd_warn.log)に以下の様なメッセージが出力されます。
| パネル | ||||||
|---|---|---|---|---|---|---|
| ||||||
2012-08-30 14:45:07 WARN OpenSAML.MetadataFilter.Signature : filtering out group at root of instance after failed signature check: Unable to verify signature with supplied key(s). |
...
バッキングファイルは/var/cache/shibboleth/federation-metadata.xmlにあります。
確認後は、元に戻すのを忘れないでください。