バージョン共通
shibboleth-identity-provider-3.x.x.tar.gzパッケージを展開したディレクトリで、以下のコマンドで設定ファイルの変更点を確認し、適宜反映した上で、アップデートを実行します。
/opt/shibboleth-idp/以下に存在しないファイル/ディレクトリはアップデート時に自動的に作成されますが、インストール後修正したファイルのほか、修正していないファイルも一切上書きはされませんので、適宜反映してください。
2016年11月21日以前の技術ガイドに沿って構築した場合、設定ファイルのパーミッションに問題がありアップデート後に正常に起動しない可能性があります。以下にならってパーミッションを修正した上でアップデートを適用してください。
# find /opt/shibboleth-idp/conf -type d -exec chmod g+s {} \;
# chown tomcat:root /opt/shibboleth-idp/credentials/server.key
# chmod 400 /opt/shibboleth-idp/credentials/server.key
1行目の修正点は、アップデート時に新規ファイル/ディレクトリが作成される場合も適切なowner/groupを維持するためのものです。
2,3行目は、server.key(に限らずcredentials/以下の.keyで終わるファイル)はアップデートプロセスによりrw-------に強制されるので、ownerがrootでかつtomcatユーザで運用していると動作しなくなることに対する対処です。
# diff -rb /opt/shibboleth-idp/dist/ dist/(変更点の確認)
# bin/install.sh -Didp.conf.filemode=640
Source (Distribution) Directory (press <enter> to accept default: [/root/shibboleth-identity-provider-3.3.0][Enter] ←入力なしInstallation Directory: [/opt/shibboleth-idp]
[Enter]
Rebuilding /opt/shibboleth-idp/war/idp.war ......doneBUILD SUCCESSFULTotal time: 5 seconds#
最後に、アップデートプロセスにより変更されたserver.keyのパーミッションを元に戻します。
# chmod 400 /opt/shibboleth-idp/credentials/server.key
注意点
/opt/shibboleth-idp/の下にold-2016MMDD-XXXX/というようなディレクトリが作成されるようですが、運用には不要です。# ls /opt/shibboleth-idp/old-20160509-0810/ bin/ dist/ doc/ system/ webapp/
uApproveJPをインストールしている場合は
system/以下の修正が元に戻っているはずなのでアップデートの後再修正が必要。
IdP 3.2.x から IdP 3.2.x へアップデートする場合の注意点
JVMヒープサイズの推奨値が1.5GBに上方修正されておりますので、適宜自動スクリプトを更新してください。
古いJavaを使っているとメタデータ取得に失敗するという情報がありました。
2015-08-21 [upki-fed:00954] 最新のJava(Oracle JDK/OpenJDK)を使った場合のメタデータ取得エラー
IdP 3.1.x から IdP 3.2.x へアップデートする場合の注意点
以下のページを参照のこと。
⇒https://www.switch.ch/aai/guides/idp/installation/#keepinguptodate