attribute-resolver.xml ファイルの変更
実習セミナー
・「/root/GETFILE」内の、attribute-resolver.xmlを使用します。
以下のコマンドで、デフォルトのファイルを差し替えてください。
# /bin/cp -f /root/GETFILE/attribute-resolver.xml /opt/shibboleth-idp/conf
※ 実習用のテンプレートを使用する為、以降の設定手順は行いません。
デフォルトの /opt/shibboleth-idp/conf/attribute-resolver.xml をテンプレートで差し替え、下記にしたがい修正してください。
1.属性の定義部分を、以下の例に従い有効にします。
各属性の定義方法はここを参照下さい。
(1) eduPersonPrincipalNameを有効とする例:
<!-- Attribute Definition for eduPersonPrincipalName --> <!-- --> ← コメント終了を追加して、以下を有効とします
<resolver:AttributeDefinition id="eduPersonPrincipalName" xsi:type="Scoped" xmlns="urn:mace:shibboleth:2.0:resolver:ad" scope="***.ac.jp" sourceAttributeID="uid"> ← scopeにIdPのドメインを設定します、また、
sourceAttributeIDにLDAP内の属性名を設定します <resolver:Dependency ref="myLDAP" /> <resolver:AttributeEncoder xsi:type="SAML1ScopedString" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" name="urn:mace:dir:attribute-def:eduPersonPrincipalName" /> <resolver:AttributeEncoder xsi:type="SAML2ScopedString" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.6" friendlyName="eduPersonPrincipalName" /> </resolver:AttributeDefinition> <!-- --> ← コメント開始を追加して、上記を有効とします
(2) eduPersonEntitlementを有効とする例:
<!-- Attribute Definition for eduPersonEntitlement --> <!-- --> ← コメント終了を追加して、以下を有効とします
<resolver:AttributeDefinition id="eduPersonEntitlement" xsi:type="Simple" xmlns="urn:mace:shibboleth:2.0:resolver:ad" sourceAttributeID="eduPersonEntitlement"> <resolver:Dependency ref="staticEntitlement" /> <resolver:AttributeEncoder xsi:type="SAML1String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" name="urn:mace:dir:attribute-def:eduPersonEntitlement" /> <resolver:AttributeEncoder xsi:type="SAML2String" xmlns="urn:mace:shibboleth:2.0:attribute:encoder" name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7" friendlyName="eduPersonEntitlement" /> </resolver:AttributeDefinition> <!-- --> ← コメント開始を追加して、上記を有効とします
<!-- Static Connector for Entitlement --> <!-- --> ← コメント終了を追加して、以下を有効とします <resolver:DataConnector id="staticEntitlement" xsi:type="Static" xmlns="urn:mace:shibboleth:2.0:resolver:dc"> <Attribute id="eduPersonEntitlement"> <Value>urn:mace:dir:entitlement:common-lib-terms</Value> ↑ 送信する値を設定します </Attribute> </resolver:DataConnector> <!-- --> ← コメント開始を追加して、上記を有効とします
2.利用するコネクタを設定します。
※LDAPを利用する例を示します。
<!-- Example LDAP Connector --> <!-- --> ←コメント終了を追加して、以下を有効とします <resolver:DataConnector id="myLDAP" xsi:type="LDAPDirectory" xmlns="urn:mace:shibboleth:2.0:resolver:dc" ldapURL="ldap://ldap.example.org" ← LDAPのURLを設定 baseDN="ou=people,dc=example,dc=ac,c=JP" ← LDAPのbaseDNを設定 principal="uid=myservice,ou=system" ← LDAPのprinipalを設定 principalCredential="myServicePassword"> ← LDAPのパスワードを設定
<FilterTemplate> <![CDATA[ (uid=$requestContext.principalName) ]]> </FilterTemplate> </resolver:DataConnector> <!-- --> ← コメント開始を追加して、上記を有効とします
※ パスワードに '&' や '<' を含む場合は '&' や '<' のように記述してください。
→ meatwiki:GakuNinShare:トラブルシューティング