...
<MetadataProvider>のuriに指定するメタデータダウンロードURLを以下の通り、末尾に?generation=2を付加します。コード ブロック language diff title 差分(unified diff形式) <MetadataProvider type="XML" validate="true" - uri="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml" + uri="https://metadata.gakunin.nii.ac.jp/gakunin-metadata.xml?generation=2" backingFilePath="federation-metadata.xml" reloadInterval="7200"> (......)<MetadataFilter>のcertifiateに指定する署名検証用証明書のファイル名を以下の通り、2010の部分を2017に修正します。コード ブロック language diff title 差分(unified diff形式) <MetadataProvider type="XML" validate="true" (......) backingFilePath="federation-metadata.xml" reloadInterval="7200"> - <MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/gakunin-signer-2010.cer"/> + <MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/gakunin-signer-2017.cer"/> (......) </MetadataProvider>ヒント バージョン2.6およびそれ以降をお使いの場合、万一設定ミスした場合もしくはダウンロードに失敗した場合の保険として、さらに
verifyBackup="false"を追加していない場合は追加することをお勧めします。そうでなければ、後述の再起動時、旧署名証明書で署名されたバッキングファイルに対して新署名証明書で検証するため失敗し、当該バッキングファイルが効果を失います。ただし、バッキングファイルが他者によって変更されないことが確実な場合のみこれを行ってください。コード ブロック language diff title 差分(unified diff形式) <MetadataProvider type="XML" validate="true" (......) backingFilePath="federation-metadata.xml" reloadInterval="7200"> - <MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/gakunin-signer-2017.cer"/> + <MetadataFilter type="Signature" certificate="/etc/shibboleth/cert/gakunin-signer-2017.cer" verifyBackup="false"/> (......) </MetadataProvider>もちろんバッキングファイルが新メタデータで上書きされた後は上記問題は起こりませんが、起動時にバッキングファイルが使われる場合署名検証がスキップされ起動が速くなりますのでいずれにしろお勧めです。
shibdを再起動し、設定を再読み込みします。
| コード ブロック |
|---|
(CentOS 7の場合) $ sudo systemctl restart shibd (CentOS 6の場合) $ sudo service shibd restart |
...