IdPで使用しているTomcatについて、Tomcat 6.0.43およびそれ以降にアップデートしたあとにSPのログ(/var/log/shibboleth/shibd.log)に以下のエラーが出力され、Back-Channelの接続に失敗します。 ([upki-fed:00925] Tomcat 6.0.43でのBack-Channel接続の不具合について)
ERROR Shibboleth.AttributeResolver.Query [3]: exception during SAML query to https://IdPのホスト名:8443/idp/profile/SAML1/SOAP/AttributeQuery: CURLSOAPTransport failed while contacting SOAP endpoint (https://IdPのホスト名:8443/idp/profile/SAML1/SOAP/AttributeQuery): error:14094416:SSL routines:SSL3_READ_BYTES:sslv3 alert certificate unknown ERROR Shibboleth.AttributeResolver.Query [3]: unable to obtain a SAML response from attribute authority
→ この問題に対応した tomcat6-dta-ssl-2.0.0.jar が公開されました (Updated Tomcat 6 Connector, JCONN-2)。
→ Tomcat 6.0.43およびそれ以降のバージョンをご利用の場合は学認技術ガイドの手順( > 2.ライブラリのコピー)に従い tomcat6-dta-ssl-2.0.0.jar を導入し、旧jarファイル tomcat6-dta-ssl-1.0.0.jar(もしあれば tomcat6-dta-ssl-1.1.0.jar も)を削除してください。
なお、IdPv3への移行を考慮して「Tomcat 7/8上でIdPバージョン2を動かしたい」という場合には、tomcat6-dta-ssl-x.x.x.jar を使うのではなく、IdPv3向けに用意されております trustany-ssl.x.x.x.jar をお使いください。
一部の古いバージョン(tomcat6-dta-ssl-1.1.0.jar)はJava 6の環境では動きません。起動時にcatalina.outに以下のエラーが出力されます。最新版を使うようにしてください。
Caused by: java.lang.UnsupportedClassVersionError: edu/internet2/middleware/security/tomcat6/DelegateToApplicationJSSEImplementation : Unsupported major.minor version 51.0