GakuNinShibInstall

スペース ショートカット

ページ ツリー

比較バージョン

古いバージョン 1

changes.mady.by.user Yoshiaki Kawano

保存しました

次と比較

新しいバージョン 2

changes.mady.by.user Yoshiaki Kawano

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

IdPとのSP接続確認(★)

※接続確認に使用する IdP の設定変更も必要となります。設定変更は IdP の管理者に依頼して下さい。

...

1.attribute-map.xml, attribute-policy.xmlの準備

ヒント
title実習セミナー

・「/var/www/html/secure」配下に属性確認用のPHPファイルが既に配置済みです。
 ファイル名は、index.phpです。

  以下のような/var/www/html/secure/phpinfo.phpを作成します。

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
<?php phpinfo(); ?>

 または、属性確認用の簡単なPHPプログラムをご利用下さい。 ダウンロード 説明

 

2. shibdとhttpdの再起動(★)

...

title実習セミナー

attribute-map.xml、attribute-policy.xmlファイルを差し替えます。

初期設定で「

...

/root/GETFILE」に取得している実習セミナー用のattribute-map.

...

xml、attribute-policy.xmlファイルを「/etc/shibboleth」配下にコピーし、

デフォルトのファイルを差し替えてください。
この設定ファイルは、実習セミナー内のIdPサーバから全属性値を受け取る設定となっています。

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
shibboleth」配下にコピーし、デフォルト
 のファイルを差し替えてください。
 この設定ファイルは、実習セミナー内のIdPサーバから全属性値を受け取る設定と
 なっています。
 # 
# 
/bin/cp -f /root/GETFILE/attribute-*.xml /etc/shibboleth/
 設定ファイルを差し替えたら、shibdおよびhttpdを再起動してください。

 

...

2. shibdとhttpdの再起動(★)

設定ファイルを差し替えたら、shibdおよびhttpdを再起動してください。

接続確認前にshibdとhttpdを再起動します。 接続確認前にshibdとhttpdを再起動します。(★)

# systemctl restart 
 ## service shibdsystemctl restart
 # service httpd restart
パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid

CentOS 7の場合コマンドが異なります。

パネル
情報
shibd
# systemctl restart httpd

 

...

3. 構築したSPにアクセス(★)

...

各自が構築したSPサーバへアクセスします。

...

title実習セミナー

以下のアドレスを各自のホスト名に変更してアクセスしてください。

https

...

://ex-sp-test??.gakunin

...

.

...

nii.ac.jp/secure/

...

index.php

展開
titleよくあるエラー

SPへのアクセス時にエラー

SPにアクセスした際に、ブラウザに下記のエラーが出力されます。

 

書式設定済み
shibsp::ListenerException

The system encountered an error at Wed Aug 17 19:09:20 2016

To report this problem, please contact the site administrator at
root@xxxxx.

Please include the following message in any email:

shibsp::ListenerException at (https://xxx.xxxxx.xx.xx/secure)

Cannot connect to shibd process, a site adminstrator should be notified.

SELinuxがenabledになっている場合、このメッセージが表示されます。

SELinuxを無効にしてください。

ログインボタンを押した際にエラー(エラー:無効なクエリです) 

SP画面にてログインを押した際に、ブラウザに下記のエラーが出力されます。

書式設定済み
エラー: 無効なクエリです
The Service Provider 'https://xxx.xxx.xx.xx/xxx' could not be found in metadata and is therefore unknown.

→/etc/shibboleth/shibboleth2.xmlファイルのentityID設定が間違っている場合に表示されます。

 参考情報:  SPセッティング - shibboleth2.xml ファイル(★)

ログインボタンを押した際にエラー(サーバが見つからない) 

SP画面にてログインを押した際に、ブラウザに下記のエラーが出力されます。

書式設定済み
IE:
このページは表示できません
Web アドレス https://xxx.xxx.xxx.xx が正しいか確かめてください。


Firefox:
サーバが見つかりませんでした
xxx.xxx.xxx.xx という名前のサーバが見つかりませんでした。

→/etc/shibboleth/shibboleth2.xmlファイルのDSサーバ参照設定のURLが間違っている可能性があります。

 参考情報:  SPセッティング - shibboleth2.xml ファイル(★)

...

展開
titleよくあるエラー

属性値が全てNOT RECEIVEDになってしまう 

ログイン後の各属性値の表示画面にて、値を取得できずにNOT RECEIVEDが表示されます。
また、/var/log/shibboleth/shibd_warn.log に下記のエラーが出力されます。

書式設定済み
2013-01-01 00:00:00 ERROR Shibboleth.AttributeResolver.Query [1]: exception during SAML query to https://xxx.xxx.xxx.xx:8443/idp/profile/SAML2/SOAP/AttributeQuery: CURLSOAPTransport failed while contacting SOAP endpoint (https://xxx.xxx.xxx.xx:8443/idp/profile/SAML2/SOAP/AttributeQuery): Failed connect to xxx.xxx.xxx.xx:8443; Connection refused
2013-01-01 00:00:00 ERROR Shibboleth.AttributeResolver.Query [1]: unable to obtain a SAML response from attribute authority

→接続先IdPのattribute-filter.xmlにSPが設定されていない可能性があります。実習環境では、IdP選択時に「選択ボタン」下のリセットを押し、実習セミナー接続確認用IdPを選択しなおして下さい。

表示例)
phpinfoの場合

PHP Variables 

...

...
 
...
 
6. メタデータ署名検証が正常に機能していることの確認
...
...
・実習セミナーでは改変されたメタデータが用意されていないのでこの項目は飛ばしてください。 
 shibboleth2.xmlに設定した取得するメタデータを改竄されたものに変更して、適切に署名検証が失敗することを確認してください。
shibboleth2.xmlの以下の部分を修正し、shibdを再起動してください。(元がgakunin-test-metadata.xmlの場合はgakunin-test-metadata-tampered.xmlに修正してください)
 パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
        <MetadataProvider type="XML" uri="https://metadata.gakunin.nii.ac.jp/gakunin-metadata-tampered.xml"
  メタデータの署名検証に失敗した場合には、SPのログファイル(/var/log/shibboleth/shibd_warn.log)に以下の様なメッセージが出力されます。
 パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
2012-08-30 14:45:07 WARN OpenSAML.MetadataFilter.Signature : filtering out group at root of instance after failed signature check: Unable to verify signature with supplied key(s).
 ただし、検証に失敗しても、以前に検証にパスしたメタデータがバッキングファイルにあればそれを読み込んでSPは起動するのでご注意ください。バッキングファイルが存在しなければ、信頼するメタデータが無い状態で起動します(いずれのIdPに接続しようとしてもそのIdPのメタデータが見つからない旨エラーが表示されます)。
 バッキングファイルは /var/cache/shibboleth/federation-metadata.xml にあります。
 確認後は、元に戻すのを忘れないでください。
 Prevnextbuttons