GakuNinShibInstall

スペース ショートカット

ページ ツリー

比較バージョン

古いバージョン 4

changes.mady.by.user Yoshiaki Kawano

保存しました

次と比較

新しいバージョン 5

changes.mady.by.user Yoshiaki Kawano

保存しました

キー

  • この行は追加されました。
  • この行は削除されました。
  • 書式設定が変更されました。

...

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid

<Connector port="8009" protocol="AJP/1.3" redirectPort="8443"
enableLookups="false" tomcatAuthentication="false" address="127.0.0.1" maxPostSize="100000" />

...

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid

# cd /root/PKG
# unzip tar xzvf shibboleth-identity-provider-4.?.?.ziptar.gz
# cd shibboleth-identity-provider-4.?.?
# ./bin/install.sh -Didp.conf.credentials.filemode=640 -Didp.conf.credentials.group=tomcat

 install.shシェルスクリプトを実行すると、以下のような問い合わせがあります。
手順に従って、進めてください。

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid


Buildfile: /root/PKG/shibboleth-identity-provider-4.0.1/bin/build.xml


install:
Source (Distribution) Directory (press <enter> to accept default): [/root/PKG/shibboleth-identity-provider-34.10.1] ?
[Enter] ←入力なし

Installation Directory: [/opt/shibboleth-idp]
[Enter] ←入力なしA V2 Installation has been detected. Configuration will be preserved into


.v2 folders and appropriate files copied forward.
Hostname: [ex-idp-test**.gakunin.nii.ac.jp]
[Enter] ←入力なし
SAML EntityID: [https://ex-idp-test**.gakunin.nii.ac.jp/idp/shibboleth]
[Enter] ←入力なし
Attribute Scope: [gakunin.nii.ac.jp]
nii.ac.jp[Enter]Cookie Encryption Key Password: cookiepass[Enter] ←任意のパスワード
Re-enter password: cookiepass[Enter] ←任意のパスワード
Warning: INFO [net.shibboleth.idp.installer.V4Install:155] - Update from version 3 to version 4.0.1
INFO [net.shibboleth.idp.installer.BuildWar:72] - Rebuilding /opt/shibboleth-idp/war/idp.war, Version 4.0.1
INFO [net.shibboleth.idp.installer.BuildWar:81] - Initial populate from /opt/shibboleth-idp/dist does not exist.
(省略)
Rebuilding /webapp to /opt/shibboleth-idp/war/idp.war ...
...done

BUILD SUCCESSFUL

展開
titleアップグレード時にインストーラが行うこと一覧(ここをクリックすると展開されます...)

  • The V2 configuration files are copied to a new directory, conf.v2

  • The packed V2 warfile is copied to a new directory, war.v2

  • The directories logs and metadata are left untouched (note that leaving the latter in place means that new example metadata for the IdP is not generated).

  • Specific legacy files that are generally compatible with V3 (attribute-resolver.xml, attribute-filter.xml, relying-party.xml) are pre-populated into the new config directory; these make up the bulk of your older configuration, save for authentication.

  • The relying-party.xml file is also copied to metadata-providers.xml

  • The rest of the configuration is populated as for a new installation.

  • Finally, services.properties is altered to enable a legacy relying party configuration.

・ldap.propertiesの修正

webpapp.tmp
INFO [net.shibboleth.idp.installer.BuildWar:90] - Overlay from /opt/shibboleth-idp/edit-webapp to /opt/shibboleth-idp/webpapp.tmp


BUILD FAILED
/root/PKG/shibboleth-identity-provider-4.0.1/bin/build.xml:20: Failed to copy /opt/shibboleth-idp/edit-webapp/WEB-INF/lib/jakarta-taglibs-core.jar to /opt/shibboleth-idp/

...

webpapp.tmp/WEB-INF/lib/jakarta-taglibs-core.jar due to java.nio.file.NoSuchFileException /opt/shibboleth-idp/edit-webapp/WEB-INF/lib/jakarta-taglibs-core.jar


Total time: 1 minute 14 seconds

・パーミッションの調整

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid

## Connection properties ##
#idp.authn.LDAP.ldapURL = ldap://localhost:10389
idp.authn.LDAP.ldapURL = ldap://localhost
#idp.authn.LDAP.useStartTLS = true
idp.authn.LDAP.useStartTLS = false
(省略)
#idp.authn.LDAP.baseDN = ou=people,dc=example,dc=org
idp.authn.LDAP.baseDN = o=test_o,dc=ac,c=JP
#idp.authn.LDAP.subtreeSearch = false
idp.authn.LDAP.subtreeSearch = true
(省略)
#idp.authn.LDAP.bindDN = uid=myservice,ou=system
idp.authn.LDAP.bindDN = cn=olmgr,o=test_o,dc=ac,c=JP
#idp.authn.LDAP.bindDNCredential = myServicePassword
idp.authn.LDAP.bindDNCredential = csildap

・Tomcatの設定

Tomcatを”tomcat”ユーザで実行する場合は、ログファイルを出力できるようディレクトリの所有者を変更します。
同様に、設定ファイルやメタデータの保存ディレクトリなどの所有者・パーミッションも変更します。

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
# chown -R tomcat:tomcat /opt/shibboleth-idp/logs
# chgrp -R tomcat /opt/shibboleth-idp/conf
# chmod -R g+r /opt/shibboleth-idp/conf
# find /opt/shibboleth-idp/conf -type d -exec chmod -R g+s {} \;
# chgrp tomcat /opt/shibboleth-idp/metadata
# chmod g+w /opt/shibboleth-idp/metadata
# chmod +t /opt/shibboleth-idp/metadata
# chgrp tomcat /opt/shibboleth-idp/credentials/serversecrets.keyproperties
# chmod g+r /opt/shibboleth-idp/credentials/serversecrets.key

・idp.war の登録

${CATALINA_BASE}/conf/Catalina/localhost/idp.xml という新規ファイルを以下の内容で作成し、idp.warをTomcatが認識できるようにします。

properties
# chgrp tomcat /opt/shibboleth-idp/credentials/sealer.*
# chmod g+r
パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid
<Context docBase="
/opt/shibboleth-idp/
war
credentials/
idp
sealer.
war"
         privileged="true"
         antiResourceLocking="false"
         swallowOutput="true" />

httpdとTomcatを再起動します。

*

jstl-1.2.jar の配置

jstl-1.2.jarは、予め「/root/PKG」配下にあります。
edit-webapp/ 配下に配置し、idp.warに含めます。また、旧環境で使用した不要なファイルを削除します。

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid

# service tomcat7 stop
# service httpd restart
# service tomcat7 start

※画面のカスタマイズ方法はv2から変わっています。views/login.vm等をご参照ください。
参考:  GakuNinShare:ロゴの変更

 

・その他

cp /root/PKG/jstl-1.2.jar /opt/shibboleth-idp/edit-webapp/WEB-INF/lib/
# rm -f /opt/shibboleth-idp/edit-webapp/WEB-INF/lib/jakarta-taglibs-*
# /opt/shibboleth-idp/bin/build.sh
Installation Directory: [/opt/shibboleth-idp]
[Enter] ←入力なし
Rebuilding /opt/shibboleth-idp/war/idp.war ...
...done

BUILD SUCCESSFUL
Total time: 3 seconds

 httpdの再起動とTomcatの起動を行います。(すでにTomcatが起動している場合はstopしてから行ってください)Tomcat 6は不要になっていますので削除してください。

パネル
borderColor#cccccc
bgColor#eeeeee
borderStylesolid

# yum erase tomcat6# systemctl restart httpd # systemctl start tomcat



...

3. 手順書

以下は、英語での情報が記載されたwiki.shibboleth.netのURLです。手順の詳細にご興味がある方はご参照ください。

参考: UpgradingFromV2

なお、実習セミナーでは不要としておりますが、バージョン2でバックチャネルの設定をしていた場合は IdPv3セッティング > Back-Channelの設定 に従って設定してください。

また、バージョン2にuApprove.jp等を入れていた場合は、不要な設定が残っていないかApacheの設定ファイルを確認してください。

参考: IdPv3アップデートに関する情報IdPv4アップデートに関する情報参考: [InCommon Wiki] Upgrading to Shibboleth IdP V3


...

4. 動作確認

① 各自が使用するSPの接続確認用ページにアクセスします。

...