...
なお、Apache httpd 2.4上でSPを構築した場合、なんらかの条件のもとで、シボレス認証が必要な場面で"401 Unauthorized"というエラーが発生するという情報があります。この場合は以下の方法を試してみてください(CentOS 7での手順です)。
/etc/httpd/conf.modules.conf.d/00-shib.conf
のようなファイル名で以下の内容で新規ファイルを作成し、/etc/httpd/conf.d/shib.conf
の該当行を削除してください。終わりましたらhttpdを再起動してください。
...
展開 |
---|
|
CentOS 6では、脆弱性の温床であるDTD形式での記述を一切処理しないようにすることができます。Shibbolethおよび学認では使用しておりませんので、セキュリティ強化のため是非この手順を実施してください。 実施するには、/etc/sysconfig/shibd および/etc/sysconfig/httpd の末尾に以下の行を加えます。(CentOS 7での手順は後述) 書式設定済み |
---|
export XERCES_DISABLE_DTD=1 |
shibdおよびhttpdの再起動後に、以下のようなコマンドを使って当該環境変数が設定されていることを確認してください。 書式設定済み |
---|
$ sudo /sbin/service httpd restart
$ sudo /sbin/service shibd restart
$ sudo less /proc/`pidof -s shibd`/environ
$ sudo less /proc/`pidof -s httpd`/environ |
情報 |
---|
CentOS 7では上記手順では反映されませんので、下記手順に従ってください。 shibdについては、以下のようにしてsystemdの設定で環境変数を追加します。最後のコマンドで当該環境変数が設定されていることを確認してください。 書式設定済み |
---|
$ sudo systemctl edit shibd.service
[Service]
Environment=XERCES_DISABLE_DTD=1
$ sudo systemctl daemon-reload
$ sudo systemctl restart shibd
$ sudo less /proc/`pidof -s shibd`/environ |
httpdのほうはexportを省いた以下の行を/etc/sysconfig/httpdの末尾に追記します。同様に最後に記載したコマンドで当該環境変数が設定されていることを確認してください。 書式設定済み |
---|
XERCES_DISABLE_DTD=1 |
書式設定済み |
---|
$ sudo vi /etc/sysconfig/httpd
$ sudo systemctl restart httpd
$ sudo less /proc/`pidof -s httpd`/environ |
|
|
...
verifyBackup="false"
バッキングファイルが他者によって変更されないことが確実な場合はSignature MetadataFilterの末尾に verifyBackup="false"
を追加してください。起動時のメタデータ読み込み時にバッキングファイルの署名検証がスキップされ起動が速くなります。
...