目次

事前説明(AWS)

IdP、又はSPの構築を行うサーバ (Linux/CentOS)のインスタンスは、既にAWS上に起動されており、
Tera Term等SSHクライアントでログインすることができます。
※使用するサーバは、「CentOS7 64bit」です。


IdP構築用とSP構築用のホスト名は以下の通りです。?? の部分は数字2桁で、受講者の番号で置き換えてください。
※ 活用編でも同じホスト名となります。ただしIdP/SPの基本的な部分は構築済みです。

ex-idp-test??.gakunin.nii.ac.jp
ex-sp-test??.gakunin.nii.ac.jp

例)1番を割り振られた場合のIdP
ex-idp-test01.gakunin.nii.ac.jp

例)10番を割り振られた場合のSP
ex-sp-test10.gakunin.nii.ac.jp


受講者から事前に頂戴した公開鍵は上記ホストに設定済みです。また事前に頂戴したIPアドレスからのSSHアクセスを許可しております。SSH(公開鍵認証)でログインして操作してください。
SSHでのログインはユーザーcentosで行ってください。作業の効率化のため、sudoでrootユーザーになっておいてください。

$ sudo -i


あらかじめインターネットから取得したファイルならびに構築に必要なファイルが、「/root/PKG」および「/root/GETFILE」に保存されています。

作業を行なっているサーバのシャットダウンは、行わないでください。

再起動は良いですが、シャットダウンしてしまうと、インスタンスが停止してしまい操作できなくなります。なお、本セミナーでサーバの再起動を必要とする箇所はありません。説明の中で再起動と言った場合、IdPやSPのプロセス再起動を指しています。

IdPとSPの双方を操作することになります。自分がどちらのサーバを扱っているのか、常時意識してください。

OpenSSHをお使いの場合、.ssh/configに以下の設定をしておくとSSH先の指定が楽になります。

Host ex-idp-test00
HostName ex-idp-test00.gakunin.nii.ac.jp
User centos
Port 22
IdentityFile ~/.ssh/秘密鍵ファイル
Host ex-sp-test00
HostName ex-sp-test00.gakunin.nii.ac.jp
User centos
Port 22
IdentityFile ~/.ssh/秘密鍵ファイル

上記設定をした場合のSSHコマンド例:

# ssh ex-idp-test00
# ssh ex-sp-test00



Shibboleth構築作業について

1. IdP構築:接続確認までの流れ

  1)Javaのインストール

  2)Jettyのインストール
  ・Shibboleth用各種設定ファイル群(jetty-base)の設定など

  3)Shibboleth-IdPのインストール

  4)Shibboleth-IdPの設定
    ・メタデータの自動ダウンロード設定
    ・証明書の設定
    ・認証時のLDAP接続設定
  ・NameIDの設定
  ・LDAPのパスワードやSalt値の設定
      変更ファイル: metadata-providers.xml, idp.properties, ldap.properties, saml-nameid.properties, secrets.properties 

  5)SPへの送信属性に関する設定
    ※実習セミナーでは、設定済みファイルに置き換え
      変更ファイル: attribute-resolver.xml, attribute-filter.xml

  6)ApacheおよびIdPへの証明書の設定
      変更ファイル: ssl.conf

  7)メタデータの作成と提出

  8)講師用のSPを使った接続確認

2. SP構築:接続確認までの流れ

  1)Shibboleth-SPのインストール
      変更ファイル: ssl.conf

  2)Shibboleth-SPの設定
      ・EntityIDの設定
      ・DSの参照設定
      ・メタデータの自動ダウンロード設定
      変更ファイル: shibboleth2.xml

  3)ApacheおよびSPへの証明書の設定
      変更ファイル: ssl.conf, shibboleth2.xml

  4)メタデータの作成と提出

  5)IdPからの受信属性に関する設定
      ※実習セミナーでは、設定済みファイルに置き換え
      変更ファイル: attribute-map.xml, attribute-policy.xml

  6)講師用のIdPを使った接続確認



実習セミナー環境での設定ホスト一覧(AWS)

 DS:
  ex-ds.gakunin.nii.ac.jp
  ※SPに設定するDSのURL
   →https://ex-ds.gakunin.nii.ac.jp/WAYF

 LDAPサーバ:
  ex-ldap.gakunin.nii.ac.jp

 レポジトリサーバ(メタデータ自動ダウンロードで参照):
  ex-ds.gakunin.nii.ac.jp
  ※実習セミナー内公開メタデータのURL
   →https://ex-ds.gakunin.nii.ac.jp/fed/ex-fed-metadata.xml

 メタデータ提出先:
  ex-ds.gakunin.nii.ac.jp
  ※このホストのuploaderユーザのホーム配下にある「METADATA」ディレクトリ配下にアップロードします。

 接続確認用SP :
  ex-sp.gakunin.nii.ac.jp
  ex-sp2.gakunin.nii.ac.jp

 接続確認用IdP:
  ex-idp.gakunin.nii.ac.jp

 接続確認のURL:
  https://ex-sp.gakunin.nii.ac.jp/
  ※SP構築時の接続確認は、"ex-sp.gakunin.nii.ac.jp"の部分が各自
   構築したSPのホスト名となります。



動作確認時のTips

各種作業後にブラウザを用いてテストしますが、そのときはブラウザのプライバシーモードを使うとよいでしょう。ID・パスワードの入力状態やDSでの選択状態など過去の操作をリセットし、まっさらな状態から動作確認を行うことができます。
Chrome: シークレットウィンドウ
Firefox: プライベートウィンドウ


基礎編のIdP構築は、こちらへ。SP構築は、こちらへ。 また活用編は、こちらへ。

  • ラベルがありません