...
IdPでは ldap.properties, attribute-resolver.xml に下記の設定を行います。LDAPサーバのCA証明書は に下記の設定を行います。例としてLDAPサーバのCA証明書は /etc/pki/tls/certs/gakuninca.pem として配置しています。
| パネル |
|---|
| title | /opt/shibboleth-idp/conf/ldap.properties の設定 |
|---|
|
(省略)
## Connection properties ##
idp.authn.LDAP.ldapURL = ldap://ldaptest1.gakunin.nii.ac.jp
idp.authn.LDAP.useStartTLS = true
#idp.authn.LDAP.useSSL = false
#idp.authn.LDAP.connectTimeout = 3000
## SSL configuration, either jvmTrust, certificateTrust, or keyStoreTrust
idp.authn.LDAP.sslConfig = certificateTrust ← アンコメント
## If using certificateTrust above, set to the trusted certificate's path
idp.authn.LDAP.trustCertificates = /etc/pki/tls/certs/gakuninca.pem
## If using keyStoreTrust above, set to the truststore path
idp.authn.LDAP.trustStore = %{idp.home}/credentials/ldap-server.truststore
(省略)
|
| パネル |
|---|
| title | /opt/shibboleth-idp/conf/attribute-resolver.xml の設定 |
|---|
|
<resolver:DataConnector id="myLDAP" xsi:type="dc:LDAPDirectory"
(省略)
↓以下の3行を</resolver:DataConnector>の直前に挿入してください
<dc:StartTLSTrustCredential id="LDAPtoIdPCredential" xsi:type="sec:X509ResourceBacked">
<sec:Certificate>%{idp.attribute.resolver.LDAP.trustCertificates}</sec:Certificate>
</dc:StartTLSTrustCredential>
</resolver:DataConnector>
|
| 情報 |
|---|
LDAP Data Connectorでは、idp.authn.LDAP.sslConfigはcertificateTrustのみ使用可能です。 |
| 情報 |
|---|
後半の<dc:StartTLSTrustCredential>でのトラストアンカーの設定は、その名前に反してLDAPS(idp.authn.LDAP.useSSL=true)に関しても有効です。 |
