GakuNinShibInstall

スペース ショートカット

ページ ツリー

比較バージョン

古いバージョン 23

changes.mady.by.user KUROSAKA Shoichi

保存しました

次と比較

新しいバージョン 24

changes.mady.by.user KUROSAKA Shoichi

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

...

  • 使用中のePTIDを失効させ新しいIDを再生成できる
  • 万が一のSHA-1のコリジョンを防ぐことができる
  • インシデント発生時に、IdP側でePTIDから個人を特定するのが容易である

 

...

1. データベースにテーブルを作成する。 データベースにテーブルを作成する

MySQL上にデータベース shibbolethを作成し、以下のテーブルを追加します。 shibboleth を作成し、以下のテーブルを追加します。

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
CREATE TABLE shibpid (
    localEntity VARCHAR(255) NOT NULL,
    peerEntity VARCHAR(255) NOT NULL,
    persistentId VARCHAR(50) NOT NULL,
    principalName VARCHAR(50) NOT NULL,
    localId VARCHAR(50) NOT NULL,
    peerProvidedId VARCHAR(50) NULL,
    creationDate TIMESTAMP NOT NULL,
    deactivationDate TIMESTAMP NULL,
    PRIMARY KEY (localEntity, peerEntity, persistentId)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

...

2. JDBCのドライバー(mysql-connector-java-5.1.xx-bin.jar)を取得する。を取得する

MySQL Connector/Jのダウンロードページ(https://dev.mysql.com/downloads/connector/j/
よりmysql)より mysql-connector-java-5.1.xx.zipをダウンロードしてください。zip をダウンロードしてください。

その際、PGP署名を確認するようにしてください。ダウンロード後にPGP署名を確認するようにしてください。"Signature"リンクの先にある

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
-----BEGIN PGP SIGNATURE-----
...
-----END PGP SIGNATURE-----

 の部分をヘッダフッタも含めてコピーし、mysql-connector-java-5.1.xx.zip.ascというファイルにペーストした上で
asc というファイルにペーストした上で、「GnuPG を使用した署名確認(https://dev.mysql.com/doc/refman/5.1/ja/checking-gpg-signature.html)」にある手順に従って署名検証してください。

 にある手順に従って署名検証してください。
ダウンロードしたZIPを展開すると中にmysqlPGPの署名検証が完了したら、ダウンロードしたZIPファイルを展開してください。中にmysql-connector-java-5.1.xx-bin.jarというファイルがあります。jarというJARファイルがあります。

 

...

3. JDBCドライバーをインストールする。 JDBCドライバーをインストールする 

2.で取得したJARファイルを
/opt/shibboleth-idp/edit-webapp/WEB-INF/lib/
に配置してビルドスクリプトを実行しidpに配置したあとビルドスクリプトを実行しidp.warを再生成します。

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
# cp mysql-connector-java-5.1.xx/mysql-connector-java-5.1.xx-bin.jar /opt/shibboleth-idp/edit-webapp/WEB-INF/lib
# /opt/shibboleth-idp/bin/build.sh
Installation Directory: [/opt/shibboleth-idp]
[Enter] ←入力なし
Rebuilding /opt/shibboleth-idp/war/idp.war ...
...done

BUILD SUCCESSFUL
Total time: 3 seconds

...

4. /opt/shibboleth-idp/conf/global.xml を修正する。を修正する

/opt/shibboleth-idp/conf/global.xmlでbean MyDataSourceを定義します。

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
    <!-- Use this file to define any custom beans needed globally. -->
    <bean id="MyDataSource" 
          class="org.apache.tomcat.dbcp.dbcp.BasicDataSource"
          p:driverClassName="com.mysql.jdbc.Driver"
          p:url="jdbc:mysql://localhost:3306/データベース名"
          p:username="データベースユーザー名"
          p:password="データベースパスワード"
          p:maxActive="10"
          p:maxIdle="5"
          p:maxWait="15000"
          p:testOnBorrow="true"
          p:validationQuery="select 1"
          p:validationQueryTimeout="5" />

    <!--
    Algorithm whitelists and blacklists that override or merge with library defaults. Normally you can leave
    these empty or commented and use the system defaults, but you can override those defaults using these lists.
    Each <value> element is an algorithm URI, or you can use <util:constant> elements in place of literal values.
    -->


...

5. /opt/shibboleth-idp/conf/saml-nameid.properties

...

を修正する

idp.persistentId.sourceAttribute, idp.persistentId.salt, idp.persistentId.generatorとidp.persistentId.storeを設定します。

...

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
# For computed IDs, set a source attribute and a secret salt:
idp.persistentId.sourceAttribute = uid   アンコメントして修正
#idp.persistentId.useUnfilteredAttributes = true
# Do *NOT* share the salt with other people, it's like divulging your private key.
#idp.persistentId.algorithm = SHA
idp.persistentId.salt = XXXXXXXXXXXXXXXX    アンコメントして修正

# To use a database, use shibboleth.StoredPersistentIdGenerator
idp.persistentId.generator = shibboleth.StoredPersistentIdGenerator   ← アンコメントして修正
# For basic use, set this to a JDBC DataSource bean name:
idp.persistentId.dataSource = MyDataSource   アンコメントして修正
# For advanced use, set to a bean inherited from shibboleth.JDBCPersistentIdStore
#idp.persistentId.store = MyPersistentIdStore

 

...

6. /opt/shibboleth-idp/conf/attribute-resolver.xml

...

を修正する  

idp.persistentId.sourceAttributeで指定した属性がLDAPで定義されているのみでconf/attribute-resolver.xmlに対応するresolver:AttributeDefinitionが存在しない場合、

...

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
    <!-- -->
    <resolver:AttributeDefinition id="%{idp.persistentId.sourceAttribute}" xsi:type="ad:Simple" sourceAttributeID="%{idp.persistentId.sourceAttribute}">
        <resolver:Dependency ref="myLDAP" />
    </resolver:AttributeDefinition>
    <!-- -->

 

...

8.

...

Tomcatを再起動する

すべての作業が終わりましたらTomcatを再起動してください。

...