テストアカウントで接続確認する
...
...
1.httpdとJettyの再起動
接続確認前にhttpdとJettyを再起動します。接続確認前にhttpdとTomcatを再起動します。(★)
| パネル |
|---|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
|
# servicesystemctl tomcat7stop stop
jetty
# servicesystemctl restart httpd restart
# service tomcat7 start |
| 情報 |
|---|
|
IdPのサービス動作状況を確認するには、以下のようにIdPに直接アクセスします。 「access-control.xml ファイルの変更」で設定した場合は、許可したIPアドレスからアクセスが行えます。
※ホスト名を構築した環境に置き換えてアクセスしてください。 https://example-idp.nii.ac.jp/idp/status | 展開 |
|---|
| title | 許可するIPアドレスを設定していない場合 |
|---|
| TeraTermなどで接続し、以下のようにアクセスして確認します。 ※ホスト名は必ず localhost(もしくは127.0.0.1)として下さい。
またそのホスト名がサーバ証明書に記載されているホスト名と異なるため --no-check-certificate オプション
を指定しています。 | パネル |
|---|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
| # wget --no-check-certificate -nv -O - https://localhost/idp/status |
|
各サービスの動作状況が確認できます。successfulという出力が含まれていれば、IdPの機能が正常に動作していることの確認が出来ました。
※URLのホスト名と証明書に記載されているホスト名が一致しない旨の警告が出ますが、無視して構いません。
ブラウザではなくTeraTermなどでの確認時: 何も出力されない場合は -nv オプションを外して再度実行し、エラーが表示されないか確認してください。 |
2.テストSPにアクセス(★)
テストSPにアクセスしログインを行ってください。学認のテストSPは技術ガイドに記載しています。画面中央の「接続テスト」 リンクをクリックしてください。
| ヒント |
|---|
|
・実習セミナー内のSPサーバにアクセスして、確認します。
https://ex-sp.gakunin.nii.ac.jp/ |
3.DSのIdP選択画面が表示(★)
...
2.テストSPにアクセス
テストSPにアクセスしログインを行ってください。学認のテストSPは技術ガイドに記載しています。テストフェデレーションと運用フェデレーションで利用するSPが異なりますのでご注意ください。
テストSPにアクセスしたら、画面中央の「接続テスト」ボタンを押下してください。
...
3.DSのIdP選択画面が表示
DSのIdP選択画面から構築したIdPを選択します。 DSのIdP選択画面から構築したIdPを選択します。(★)
※学認DSについての注意点:
一度選択したIdPが表示されている状態で、別のIdPを選択したい場合は、
「リセット」リンクをクリックすると選択可能な全てのIdPが表示されます。
| 展開 |
|---|
|
IdP選択時にブラウザにエラー(HTTPステータス 404 -) IdPを選択した際に、ブラウザに下記のエラーが出力されます。  | 書式設定済み |
|---|
HTTPステータス 404 -
type ステータスレポート
メッセージ
説明 The requested resource () is not available. |
→IdPの各種設定ファイルにて記述ミスの可能性があります。
ログファイル /opt/shibboleth-idp/logs/idp-process.log を確認して下さい。(下記の"HandlerManager"や"RelyingPartyConfigurationManager"の部分で、どの設定ファイルに問題があるか判別可能です) /opt/shibboleth-idp/conf/handler.xml にて記述ミスがある場合 | 書式設定済み |
|---|
00:00:00.000 - ERROR [edu.internet2.middleware.shibboleth.common.config.BaseService:188] - Configuration was not loaded for shibboleth.HandlerManager service, error creating components. The root cause of this error was: org.xml.sax.SAXParseException: The content of elements must consist of well-formed character data or markup./opt/shibboleth-idp/conf/metadata-providers.xmlにて検証用証明書の設定が間違っている場合 | 書式設定済み |
|---|
00:00:00.000 - ERROR [edu.internet2.middleware.shibboleth.common.config.BaseService:188] - Configuration was not loaded for shibboleth.RelyingPartyConfigurationManager service, error creating components. The root cause of this error was: java.io.FileNotFoundException: /opt/shibboleth-idp/credentials/gakunin-signer-2010.cer (No such file or directory) |
→実習セミナー環境での検証用証明書は「ex-fed.crt」となっています。ファイルが指定場所にあるか、ファイル名が間違っていないか確認ください。 テストフェデレーション、運用フェデレーションにおける検証用証明書については技術ガイドのmetadata-providers.xml ファイルの変更を参照ください。 /opt/shibboleth-idp/conf/metadata-providers.xml のMetadata Configuration付近にて記述ミスがある場合 | 書式設定済み |
|---|
00:00:00.000 - ERROR [edu.internet2.middleware.shibboleth.common.config.BaseService:188] - Configuration was not loaded for shibboleth.RelyingPartyConfigurationManager service, error creating components. The root cause of this error was: org.xml.sax.SAXParseException: cvc-complex-type.2.3: Element 'metadata:MetadataProvider' cannot have character [children], because the type's content type is element-only. |
参考情報: 貴学にてIdPをインストールする場合の構築手順 - 4. Shibbolethのインストール(★) -4. Tomcatの設定(★)Shibbolethのインストール
IdP選択時にページが見つからない(404 Not Found) IdPを選択した際に、Webページがみつからない、404 Not Foundといったエラーがブラウザに表示されます。  | 書式設定済み |
|---|
IE:
Webページが見つかりません。HTTP 404
可能性のある原因:
・アドレスに入力ミスがある。
・リンクをクリックした場合に、リンクが古い場合があります。
Firefox:
サーバが見つかりませんでした。 |
→/etc/httpd/conf.d/ssl.conf にて記述ミスの可能性があります。
参考情報: 貴学にてIdPをインストールする場合の構築手順 - 3. jdk7、tomcat7をインストールする(★) -5. httpd の設定(★)
貴学にてIdPをインストールする場合の構築手順 - 3. jdk 11、jetty 9.4をインストールする - 5. httpd の設定
IdP選択時にブラウザにエラー(HTTPステータス 404 - /idp/profile/SAML2/Redirect/SSO) IdPを選択した際に、ブラウザに下記のエラーが出力されます。  | 書式設定済み |
|---|
HTTPステータス 404 - /idp/profile/SAML2/Redirect/SSO
type ステータスレポート
メッセージ /idp/profile/SAML2/Redirect/SSO
説明 The requested resource (/idp/profile/SAML2/Redirect/SSO) is not available. |
→$CATALINA_HOME/webappsにidp.warファイルがきちんとコピーできていない可能性があります。 参考情報: 貴学にてIdPをインストールする場合の構築手順 - 4. Shibbolethのインストール(★) -5. idp.war の配置(★) |
4.ログイン(★)
設定したIDとPasswordを利用してログイン(★)
...
4.ログイン
設定したIDとPasswordを利用してログイン
| 情報 |
|---|
| ヒント |
|---|
title | 実習セミナー |
|---|
・接続確認用ユーザ情報は、以下のようになっています。 ID:test001、パスワード:test001 ID:test002、パスワード:test002 ID:test003、パスワード:test003 何れかを使用して、ログインしてください。 |
ID, パスワードを入力してログインした後、IdPv3の標準機能となった送信属性同期画面が表示されます。パスワードを入力してログインした後、IdPv3の標準機能となった送信属性同意画面が表示されます。
Acceptをクリックして表示される環境変数に、IdPで公開するように設定した値(LDAPに保存されている eduPersonPrincipalNameなど)が含まれていることを確認します。
これが、SPへ送信したユーザの属性情報となります。
| 展開 |
|---|
|
IdPで認証時にエラー(Credentials not recognized.) IdP選択後、認証画面にてログインした際に、ブラウザに下記のエラーが出力されます。  | 書式設定済み |
|---|
Credentials not recognized. |
また、/opt/shibboleth-idp/logs/idp-process.log に下記のエラーが出力されます。 | 書式設定済み |
|---|
00:00:00.000 - WARN [edu.vt.middleware.ldap.auth.SearchDnResolver:1105] - Error performing LDAP operation, retrying (attempt 0) |
→/opt/shibboleth-idp/conf/ldap.properties にて記述ミスの可能性があります。 参考情報: IdPv3セッティング IdPv4セッティング - ldap.properties ファイルの変更(★)ファイルの変更
IdPで認証時にエラー(Message was signed, but signature could not be verified)IdP選択後、認証画面にてログインした際に、ブラウザに下記のエラーが出力されます。 | 書式設定済み |
|---|
opensaml::FatalProfileException at (https://ex-sp.gakunin.nii.ac.jp/Shibboleth.sso/SAML2/POST)
Message was signed, but signature could not be verified. |
→ トラブルシューティング を参照下さい。 |
表示例)
phpinfoの場合
PHP Variables
| variable | value |
| _SERVER["unscoped-affiliation"] | faculty |
...
...
5.メタデータ署名検証が正常に機能していることの確認
...
...
・実習セミナーでは改変されたメタデータが用意されていないのでこの項目は飛ばしてください。
metadata-providers.xmlに設定した取得するメタデータを改竄されたものに変更して、適切に署名検証が失敗することを確認してください。
metadata-providers.xmlの以下の部分を修正し、Tomcatを再起動してください。(元がgakunin-test-metadata.xmlの場合はgakunin-test-metadata-tampered.xmlに修正してください)
...
バッキングファイルは /opt/shibboleth-idp/metadata/localCopyFromXYZHTTP.xml にあります。
確認後は、設定を元に戻すのを忘れないでください。