GakuNinShibInstall

スペース ショートカット

ページ ツリー

比較バージョン

古いバージョン 16

changes.mady.by.user Yoshiaki Kawano

保存しました

次と比較

新しいバージョン 現在

changes.mady.by.user Takeshi Nishimura

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

1. はじめに

 本メニューでは、IdPをカスタマイズします。
インストール状態ではID/パスワード認証となっていますが、クライアント証明書による認証を行う設定です。

...

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
予めサーバ内に認証局のCA証明書を準備しています。

以下のコマンドで入手してください。


/root/GETFILE配下にあるので、こちらを使用してください。
(cacert.pem)
 
以下のようにCA証明書を配置します。 # cd /root/GETFILE # cp cacert.pem

# wget https://ex-ds.gakunin.nii.ac.jp/cacert.pem

以下のようにCA証明書を配置します。
# cp cacert.pem /opt/shibboleth-idp/credentials

...

・クライアント認証局のサブジェクト

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
使用するクライアント証明書のサブジェクトは、「National Institute of Informatics」となります。
クライアント証明書のサブジェクトをチェックする設定を行う箇所があるので、設定値を置き換えてください。

使用するクライアント証明書のサブジェクト"O"は、「National Institute of Informatics」となります。
クライアント証明書のサブジェクト"O"をチェックする設定を行う箇所があるので、設定値を置き換えてください。

/etc/httpd/conf.d/ssl.confの設定

SSLRequire %{SSL_CLIENT_S_DN_O} eq "National Institute of Informatics"

 

・CentOS7に合わせた設定変更

...

borderColor#cccccc
bgColor#eeeeee
borderStylesolid
/etc/httpd/conf.d/ssl.confに証明書認証用の設定を追加するのですが、手順書ではCA証明書の参照設定が
<Location /idp/Authn/X509>内に記載されていますが、以下のように変更してください。
なお、本メニューで使用するクライアント証明書のサブジェクトDNは以下のようなものです。CNがID(Username)と一致するのがポイントです。

CN = test001, OU = Cyber Science Infrastructure Development Department, O = National Institute of Informatics, L = Chiyoda-ku, ST = Tokyo, C = JP

...

3. 手順書

下記の設定手順書を参照し、作業を行います。
※実習時の設定値に置き換える事を忘れないようにしてください。

 

...

4. 動作確認

...

・クライアント証明書インストール

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
証明書認証を行う為、使用するブラウザにクライアント証明書をインストールする必要があります。

証明書認証の動作確認を行う為、使用するブラウザにクライアント証明書をインストールする必要があります。


以下の説明を参考に、実習セミナーで使用するブラウザ(Firefox)にインストールしてください。

・クライアント証明書
 クライアント証明書は、使用するパソコン(Windows7)のマイドキュメントに配置しています。(client
 クライアント証明書は、実習セミナー用DSサーバよりダウンロードしてください。
 https://ex-ds.gakunin.nii.ac.jp/client_shib.p12(client_shib.p12)

・インストール
 以下の手順でインストールします。
 ① ブラウザ(Firefox)を起動します。
 ② メニューのツール内にあるオプション、または右上にある三本線のアイコンをクリックし中にあるオプションを選択します。メニューのツール内にあるオプション、または右上にある三本線のアイコンをクリックし
   中にあるオプションを選択します。
 ③ 左にあるサイドメニューより「詳細」を選択します。右上の検索窓に「証明書」と入力します。
 ④ 「詳細」とタイトルがある下に選択可能なメニューがあるので「証明書」を選択します。
 ⑤ 下にある「証明書を表示(C)下にある「証明書を表示...」をクリックします。」ボタンをクリックします。
 ⑥ ⑤ 証明書マネージャ画面が表示されるので、「インポート(M)証明書マネージャー画面が表示されるので、「あなたの証明書」タブを選択し「インポート(M)...」をクリックします。
 ⑦ ⑥ 証明書の選択する画面が表示されるのでマイドキュメント内にある「client証明書の選択する画面が表示されるので、デスクトップ上にある「client_shib.p12」を選択し、開くボタンをクリックします。
 ⑧p12」を
   選択し開くボタンをクリックします。
 ⑦ パスワードの入力を求められるので、「shibcert」と入力してOKボタンをクリックします。

3. 手順書

下記の設定手順書を参照し、作業を行います。
※実習時の設定値に置き換える事を忘れないようにしてください。

 

4. 動作確認

① 設定後、Tomcatの再起動を行ってない場合は行ってください。① 設定後、ApacheやJettyの再起動を行ってない場合は行ってください。

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
systemctl restart tomcathttpd
systemctl restart jetty

各自が使用するSPの接続確認用ページにアクセスします。 各自が使用するSPの接続確認用ページにアクセスします。

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
例)1番を割り振られた場合
https://ex-sp-test01.gakunin.nii.ac.jp/

...

④ DSの設定を行っている場合、所属機関の選択画面が表示されるので、各自が使用するIdPを選択します。

証明書認証用のログイン画面が表示されるので、Certificate Loginボタンをクリックします。個人証明書の要求というダイアログが表示されるので、対象となるクライアント証明書を選択して、
⑥ 個人証明書の要求というダイアログが表示されるので、対象となるクライアント証明書を選択して、OKボタンをクリックします。  OKボタンをクリックします。
  ※送信属性同意画面が表示される場合は、そのまま設定値を送信しします。  ※送信属性同意画面が表示される場合は、そのまま設定値を送信しします。

⑥ 正しく属性受信の確認ページが表示される事を確認してください。⑦ 正しく属性受信の確認ページが表示される事を確認してください。
 ※ID  ※ID/パスワードを入力するログイン画面は表示されず、クライアント証明書で認証が行われ、
     ログインする事ができます。   ログインする事ができます。

Prevnextbuttons