...
| 展開 | |||||
|---|---|---|---|---|---|
|
その他の情報
3.4およびOpenJDK 11を使っており、LDAPサーバへの接続にLDAPSを使っている場合、以下のエラーになるという情報があります。
書式設定済み java.lang.NullPointerException: Thread local SslConfig has not been set
IdP 3.3.x から IdP 3.4.x へアップデートする場合の注意点
...
| 書式設定済み |
|---|
# chmod 400 /opt/shibboleth-idp/credentials/server.key |
その他の情報
3.3.xに限りませんが、
/opt/shibboleth-idp/webapp/がまだ存在するバージョン(3.3.xおよびそれ以前)の場合、サードパーティ製のJARファイルのアップデートのみを行う場合に注意が必要です。
例えば tiqrshibauthn-2.0.jar から tiqrshibauthn-2.1.jar に更新する場合、古いファイルを削除する書式設定済み rm /opt/shibboleth-idp/edit-webapp/WEB-INF/lib/tiqrshibauthn-2.0.jar
とともに webapp/ 配下の同名ファイルを削除しておいてください。
書式設定済み rm /opt/shibboleth-idp/webapp/WEB-INF/lib/tiqrshibauthn-2.0.jar
- 3.3.xに限りませんが、Java 7からJava 8へ移行する場合は以下の情報を参照してください。
⇒貴学にてIdPv3をインストールする場合の構築手順の動作要件の「Java 7 or 8」の項 - 3.3.xに限りませんが、Tomcatの起動に10分前後時間がかかり、それが問題になるような場合は以下の情報を参照してください。
⇒貴学にてIdPv3をインストールする場合の構築手順の動作要件の「Java 7 or 8」の項 - 2.xからのアップグレードの項に追記した通りスクリプトやQueryTemplateでの
$requestContextの使用が制限されておりますが、V4では$requestContext自体がなくなる見込みです。代替手段をご検討ください。
⇒ScriptedAttributeDefinitionの"V2 Compatibility"の項, QueryTemplate - 2.xからのアップグレードの項に追記した通り、NameIDの送出方法が大幅に変更されており、Transient ID送出に関する従来の記述は不要になっております。当該記述は削除することをお勧めします。
...
1行目の修正点は、アップデート時に新規ファイル/ディレクトリが作成される場合も適切なowner/groupを維持するためのものです。
2,3行目は、server.key(に限らずcredentials/以下の.keyで終わるファイル)はアップデートプロセスによりrw-------に強制されるので、ownerがrootでかつTomcatをtomcatユーザで起動していると動作しなくなることに対する対処です。
その他の情報
Tomcatの脆弱性およびそれに関連してyumパッケージのパーミッション修正が不完全な件が流れています。
2016-11-21 [upki-fed:01086] 【補足情報】【注意喚起】Tomcatの脆弱性修正版リリースについて(2016/11/1)
...
3.2.xで特定の条件で認証応答に署名がないという問題に遭遇した場合は3.3.0以降にアップデートしてください。詳細はReleaseNotesに記載されていますので"IDP-920"で検索してください。
その他の情報
四半期に一度のペースでJava(OpenJDKおよびOracle JDK)のセキュリティアップデートがリリースされています。
2016-05-16 [upki-fed:01049] Re: 【注意喚起】OpenJDKおよびOracle Javaの脆弱性について(2016/4/22)
今回の内容としては、JMXポートの脆弱性、毎回恒例の暗号系の改善(GCM, DSA)、MD5withRSAの拒否、(今回のものではありませんが)OpenJDK 7のECC対応、など。
...