このページの古いバージョンを表示しています。現在のバージョンを表示します。

現在のバージョンとの相違点 ページ履歴を表示

« 前のバージョン バージョン 8 次のバージョン »

認証方法の変更、設定(証明書による認証)

LDAPを利用したID/パスワード認証の他に、様々な認証方法を利用することが可能です。以下では、クライアント証明書を利用した認証の設定方法を示します。

この例では、

・クライアント証明書を発行するキャンパス認証局のCA証明書=Camp-CA.crt
・クライアント証明書のサブジェクト”o”の値=“Test_University_A”

として設定を行い、クライアント証明書が有効な証明書であり、かつ、上記の条件を満たす場合に認証を行う設定としています。
また、eduPersonPrincipalNameをキーとして、クライアント証明書のサブジェクト“CN”の値によりLDAPから各属性を取得してい ます。そのため、クライアント証明書のサブジェクト”CN”の値を、LDAPのeduPersonPrincipalNameに格納しておくことが必要で す。

・/opt/shibboleth-idp/conf/handler.xml の変更(IdPインストール直後の状態に戻す)

クライアント証明書を用いた認証のためにhandler.xml ファイルを変更します。

    <!-- Login Handlers -->
    <!-- --> ←コメントアウトを閉じて、こちらを有効にします
    <LoginHandler xsi:type="RemoteUser">
        <AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:TLSClient</AuthenticationMethod>
                     TLSクライアント証明書認証であることをSPに対して明示する↑
    </LoginHandler>
    <!-- --> ←コメントアウト 
    <!--  Username/password login handler -->
 <!-- ← コメントアウト
    <LoginHandler xsi:type="UsernamePassword"
           jaasConfigurationLocation="file:///opt/shibboleth-idp-2.0.0/conf/login.config">
        <AuthenticationMethod>urn:oasis:names:tc:SAML:2.0:ac:classes:PasswordProtectedTransport</AuthenticationMethod>
    </LoginHandler>
    --> ← コメントアウト

 ※端末のサイズによっては表記がずれる可能性がございます。画面を広くしてご覧ください。

 

・/etc/httpd/conf.d/ssl.confへの追加(赤文字の個所を追加)

(省略)
<VirtualHost _default_:443>
(省略)
ProxyPass /idp ajp://localhost:8009/idp
<Location /idp/Authn/RemoteUser>
      SSLCACertificateFile /opt/shibboleth-idp/credentials/Camp-CA.crt
 SSLVerifyClient require
 SSLVerifyDepth 3
 SSLRequireSSL SSLOptions +ExportCertData +StdEnvVars
 SSLUserName SSL_CLIENT_S_DN_CN
      SSLRequire %{SSL_CLIENT_S_DN_O} eq "Test_University_A"
 </Location>
(省略)
</VirtualHost>

 

・/opt/shibboleth-idp/conf/attribute-resolver.xmlの修正1

また、クライアント証明書のサブジェクト“CN”の値をedupersonPrincipalNameに設定して、これをキーとしてLDAPから属性を取得するため、下記の設定を行います。

 

※「eduPersonPrincipalName」を検索し、場所を特定してください。  
    <resolver:AttributeDefinition id="eduPersonPrincipalName" xsi:type="Scoped" xmlns="urn:mace:shibboleth:2.0:resolver:ad"
        scope="nii.ac.jp" sourceAttributeID="eduPersonPrincipalName">
        <resolver:Dependency ref="remoteUser" /> ←変更
 
        <resolver:AttributeEncoder xsi:type="SAML1ScopedString" xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
            name="urn:mace:dir:attribute-def:eduPersonPrincipalName" />
 
        <resolver:AttributeEncoder xsi:type="SAML2ScopedString" xmlns="urn:mace:shibboleth:2.0:attribute:encoder"
            name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" friendlyName="eduPersonPrincipalName" />
    </resolver:AttributeDefinition>
 
 <resolver:AttributeDefinition xsi:type="PrincipalName" xmlns="urn:mace:shibboleth:2.0:resolver:ad"  id="remoteUser" /> ←追加

 

・/opt/shibboleth-idp/conf/attribute-resolver.xmlの修正2

※「LDAP Connector」を検索し、場所を特定してください。
    <!-- Example LDAP Connector -->
    <!-- --> 
    <resolver:DataConnector id="myLDAP" xsi:type="LDAPDirectory" xmlns="urn:mace:shibboleth:2.0:resolver:dc"
        ldapURL="ldap://localhost" baseDN="o=test_o,dc=ac,c=JP" principal="cn=olmgr,o=test_o,dc=ac,c=JP"
        principalCredential="csildap">   
        <FilterTemplate>
            <![CDATA[
                (eduPersonPrincipalName=$requestContext.principalName)  ←変更
            ]]>
        </FilterTemplate>
    </resolver:DataConnector>
    <!-- -->

 

・${CATALINA_HOME}/webapp/idp/WEB-INF/web.xmlへの追加(赤文字の箇所を追加)

(省略)
    <!-- Servlet protected by container used for RemoteUser authentication -->
    <servlet>
        <servlet-name>RemoteUserAuthHandler</servlet-name>
        <servlet-class>edu.internet2.middleware.shibboleth.idp.authn.provider.RemoteUserAuthServlet</servlet-class>
        <load-on-startup>3</load-on-startup>

        <init-param>
            <param-name>authnMethod</param-name>
            <param-value>urn:oasis:names:tc:SAML:2.0:ac:classes:TLSClient</param-value>
        </init-param>

    </servlet>
(省略)

 

・/opt/shibboleth-idp/conf/relying-party.xmlの修正

複数の認証手段を使うのでなければ必須ではありませんが、デフォルトの認証手段を指定しておきましょう。

※「DefaultRelyingParty」を検索し、場所を特定してください。  
    <rp:DefaultRelyingParty provider="https://idp.example.ac.jp/idp/shibboleth" defaultSigningCredentialRef="IdPCredential"
            ↑前行の末尾の > の直前で改行し、↓を追加
        defaultAuthenticationMethod="urn:oasis:names:tc:SAML:2.0:ac:classes:TLSClient">

 

※Apacheではクライアント証明書が認識されているがその情報がTomcatに伝わっていない場合、/usr/java/tomcat /conf/server.xmlの8009番ポートConnectorにtomcatAuthentication="false"が設定されているこ とを確認してください。
参考: jdk6、tomcat6をインストールする

参考URL(証明書認証の別実装): https://wiki.shibboleth.net/confluence/display/SHIB2/X.509+Login+Handler

  • ラベルがありません