1. はじめに
本メニューでは、IdPをカスタマイズします。
インストール状態ではID/パスワード認証となっていますが、証明書による認証を行う設定です。
2. 実習セミナーでは
以下のような設定で行います。
手順書と照らし合わせながら、作業を進めてください。
・認証局のCA証明書
予めサーバ内に認証局のCA証明書を準備しています。
/root/PKG配下にあるので、こちらを使用してください。 (cacert.pem)
以下のようにCA証明書を配置します。 # cd /root/PKG # cp cacert.pem /opt/shibboleth-idp/credentials
・クライアント認証局のサブジェクト
使用するクライアント証明書のサブジェクトは、「National Institute of Informatics」となります。
クライアント証明書のサブジェクトをチェックする設定を行う箇所があるので、設定値を置き換えてください。
/etc/httpd/conf.d/ssl.confの設定
SSLRequire %{SSL_CLIENT_S_DN_O} eq "National Institute of Informatics"
・CentOS7に合わせた設定変更
/etc/httpd/conf.d/ssl.confに証明書認証用の設定を追加するのですが、手順書ではCA証明書の参照設定が
<Location /idp/Authn/X509>内に記載されていますが、以下のように変更してください。
SSLCACertificateFile /opt/shibboleth-idp/credentials/cacert.pem
<Location /idp/Authn/X509>
SSLVerifyClient require
SSLVerifyDepth 3
3. 手順書
下記の設定手順書を参照し、作業を行います。
※実習時の設定値に置き換える事を忘れないようにしてください。
4. 動作確認
① 設定後、shibdの再起動を行ってない場合は行ってください。
systemctl restart shibd
② 各自が使用するSPの接続確認用ページにアクセスします。
例)1番を割り振られた場合 https://ex-sp-test01.gakunin.nii.ac.jp/
③ ログインボタンをクリックします。
④ DSの所属機関の選択画面が表示されずにIdPのログイン画面が表示されることを確認します。
⑤ 証明書認証用のログイン画面が表示されるので、Certificate Loginボタンをクリックします。
⑥ 個人証明書の要求というダイアログが表示されるので、対象となるクライアント証明書を選択して、OKボタンをクリックします。
※送信属性同意画面が表示される場合は、そのまま設定値を送信しします。
⑦ 正しく属性受信の確認ページが表示される事を確認してください。
※ID/パスワードを入力するログイン画面は表示されず、クライアント証明書で認証が行われ、
ログインする事ができます。