テスト中です。
1. 目的
Shibboleth IdPクラスタを構成したときに、stateless/memcached方式では、ログイン処理中(ログイン画面表示→ID/パスワード入力→チェック→認証済みcookie設定)にノードを移動することが問題となる。独自ホスト名を用いてこれを防ぐための機構を提供する。
2. マシン構成
以下は2ノードでの構成を示すが原理的にはN台で可能である。
- entityID: https://idp.example.ac.jp/idp/shibboleth
- ノード1: 以下の2つのホスト名を割り当てる
1.idp.example.ac.jp
idp.example.ac.jp - ノード2: 以下の2つのホスト名を割り当てる
2.idp.example.ac.jp
idp.example.ac.jp
ノード1およびノード2では、上記entityIDでサービスするShibboleth IdP(2.3.6)を構築する。鍵および証明書は同一のものを用い、メタデータは上記entityIDを学認メタデータテンプレートに当てはめた標準的なもの(独自ホスト名を含まない)とする。
また、stateless clustering方式もしくはmemcached方式でクラスタ構成としておくこと。
各ノードのサーバ証明書には、2つのホスト名をsubjectAltNameに記載した1枚の証明書を使うと良い。ただし携帯電話でアクセスする場合は別々の証明書とする。
別々の証明書を使う時はName-basedでなくIP-based virtual hostを使うこと。
3. 設定
各ノードで以下の設定を行う。
- /usr/java/tomcat/conf/Catalina/localhost/idp.xml
に以下の内容のファイルを作成する。もしすでにidp.xmlが存在する場合は、sessionCookieNameおよびsessionCookieDomainを追加する。<Context sessionCookieName="JSESSIONID" sessionCookieDomain=".idp.example.ac.jp" />
- /usr/java/tomcat/webapps/idp/WEB-INF/web.xml
のcookieDomainがコメントアウトされている行を探し、コメントアウトを解除した上で以下のように修正する。<context-param> <param-name>cookieDomain</param-name> <param-value>.idp.example.ac.jp</param-value> </context-param>
- /etc/httpd/conf.d/ssl.conf
を以下のように修正する。ServerName 1.idp.example.ac.jp:443 ← 当該ノードの独自ホスト名を記述 UseCanonicalName On ← Onにしていない場合は追加 ... ProxyPass /idp ajp://localhost:8009/idp ProxyPassReverse /idp/ https://idp.example.ac.jp:443/idp/ ← ProxyPassの行の後に追加
4. 検証
各ノードでTomcatおよびhttpdを再起動し、それぞれにアクセスし以下を確認すること。
- cookieが.idp.example.ac.jpドメインとしてストアされること。
- ログイン処理中のリダイレクト/POST先URLがノードの独自ホスト名を使っていること。(この結果、ログイン処理の途中で別ノードに遷移することがなくなる)
当然ながらログイン処理中にノードが落ちれば続行不可能になるが、それはロードバランサを置いた場合も同じ。