...
チェック対象の eppn
や displayName
といった属性名は /etc/shibboleth/attribute-map.xml
で定義されている内容に従って記述する必要があります。
この他に template="attrChecker.html"
の部分に template="/var/www/html/Error.html"
のようにローカルのファイルを指定することで、Attribute Checkerによって表示されるエラーページを変更することも可能です。
Attribute Checker Handlerに関する詳細は https://wiki.shibboleth.net/confluence/display/SHIB2/NativeSPHandler#NativeSPHandler-AttributeCheckerHandlerVersion25andAbove をご参照ください。
SSLアクセラレータを含む構成に関する参考情報
SSLアクセラレータを挟む構成に関する参考情報
Shibboleth SPの前段にSSLアクセラレータを挟む場合、Shibboleth SPが動作しているサーバのホスト名と外から見えるホスト名が異なっていたり、接続を受けるポート・スキーム(HTTP/HTTPS)が異なっていたりすることで問題になる場合があります。
学認情報交換MLの以下から始まるスレッドを参考にApacheおよびShibboleth SPの設定をご確認ください。学認情報交換MLの以下から始まるスレッドが参考になります。
- [upki-fed:00386] IdPとのSP接続確認のエラーについて
- [upki-fed:276] SSLアクセラレータ環境
英語情報ですが下記ページが参考になります。さらなる情報は、Shibboleth開発元が提供している下記ページ(英語)をご参照ください。
- Deploy the Service Provider behind a Reverse Web Proxy
https://wiki.shibboleth.net/confluence/display/SHIB2/SPReverseProxy
※SSLアクセラレータは"SSL offloading"と表現されています。SSLアクセラレータに関する設定も記述されていますが、読み飛ばしてください。
未確認ながら、ソースIPアドレスがSSLアクセラレータのものに固定されることによって、shibboleth2.xmlの設定で checkAddress="true"
としていると問題が発生すると思われますのでご注意ください。また、consistentAddress="true"
は期待する動作をしない(常にconsistentであると判定され、セッションが切断されない)と思われます。
DS関連情報
PHP
CentOS 5標準のphpパッケージを用いた場合に/WAYF/IDProviders.jsonにアクセスするとエラー
...