...
Back-Channelの設定
Shib1.3のSPにも接続する場合は、IdPとの通信時にTLS接続を行うため、下記にしたがいBackSAML 1のSPにも接続する場合は、IdPとの通信時にTLS接続を行うため、下記にしたがいBack-Channelの設定を行ってください。 このTLS接続ではポート8443を利用します。
| ヒント |
|---|
|
・実習セミナーではShibboleth SPバージョン1.3は対象としていないため以下の設定は不要です。・実習セミナーではSAML 1のSPは対象としていないため以下の設定は不要です。 |
1.キーストアの設定
サーバ証明書を格納したキーストアを作成します。
...
| 情報 |
|---|
ダウンロードされるJARファイルのSHA-256ハッシュ値は以下の通りです。さらに真正性を確認したい場合はPGP署名をご利用ください。
# sha256sum trustany-ssl-1.0.0.jar
80f80f45dcb6671ad963e6ebf761baeb195502ca5b274b6b3f99e4ed2a900466 trustany-ssl-1.0.0.jar
|
| 展開 |
|---|
| title | shibboleth-jceを使用する場合 |
|---|
|
| 警告 |
|---|
この手順は古いものです。特に理由がなければ上記のtomcat-dta-ssl-*.jarを使用してください。 |
| パネル |
|---|
|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
|
# cp /opt/shibboleth-idp/lib/shibboleth-jce-1.1※ 2.3.4以降には当該ファイルが同梱されていません。⇒情報交換ML:00414, 情報交換ML:00513
さらに、 $JAVA_HOME/jre/lib/security/java.security ファイルに以下を追加します。
| パネル |
|---|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
|
#
# List of providers and their preference orders (see above):
#
security.provider.1=sun.security.provider.Sun
(省略)
security.provider.7=org.jcp.xml.dsig.internal.dom.XMLDSigRI
security.provider.8=sun.security.smartcardio.SunPCSC
security.provider.9=edu.internet2.middleware.shibboleth.DelegateToApplicationProvider
|
番号:9 は、既に記載されている番号に合わせて順番にして下さい。
(9が既に記載されている場合は、10に修正して行を追加).0.jar
$JAVA_HOME/jre/lib/ext
3.SOAP設定
$CATALINA_BASE/conf/server.xml ファイルに以下を追加します。
| パネル |
|---|
<Connector port="8443" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150"
SSLEnabled="true"
scheme="https"
maxPostSize="100000"
secure="true"
clientAuth="want"
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
keystoreFile="/opt/shibboleth-idp/credentials/keystore.jks"
keystorePass="キーストアパスワード"
trustManagerClassName="net.shibboleth.utilities.ssl.TrustAnyCertificate" /> |
| 情報 |
|---|
sslEnabledProtocols はSSLv3を無効にするための記述です。Tomcatのバージョンによって参照されるものが異なります。マイナーバージョンにも影響を受けるため、安全のため両方を記載しています。なお、TLSv1 はSSLv3を無効にするための記述です。なお、TLSv1.1とTLSv1.2の記載がありますが、実際に使用できるか否かはJava(JVM)のバージョンに依存します。
|
| 展開 |
|---|
| title | shibboleth-jceを使用した場合 |
|---|
|
| パネル |
|---|
|
| borderColor | #cccccc |
|---|
| bgColor | #eeeeee |
|---|
| borderStyle | solid |
|---|
|
<Connector port="8443"
maxHttpHeaderSize="8192"
maxSpareThreads="75"
scheme="https"
secure="true"
clientAuth="want"
SSLEnabled="true"
sslProtocol="TLS"
sslProtocols="TLSv1,TLSv1.1,TLSv1.2"
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
keystoreFile="/opt/shibboleth-idp/credentials/keystore.jks"
keystorePass="キーストアパスワード"
truststoreFile="/opt/shibboleth-idp/credentials/keystore.jks"
truststorePass="キーストアパスワード"
truststoreAlgorithm="DelegateToApplication"/>